Новости
В Інтернеті продається база даних електронних адрес майже 2 мільйонів користувачів платіжної системи WebMoney Transfer всього за 10 доларів. Експерти InfoWatch розслідували цей інцидент, розібралися у механізмі компіляції бази даних і тієї небезпеки, яка загрожує користувачам системи електронних платежів.
В кінці минулого тижня в Інтернеті пройшла рекламна розсилка, що пропонує всім бажаючим придбати «унікальну базу користувачів WebMoney всього за 10 доларів». Продавець повідомив, що база містить 1 976 482 адресатів і що в неї увійшли абсолютно всі користувачі цієї системи електронних платежів. Як джерело даних автор спаму вказав сайт атестації http://passport.webmoney.ru/ . Також продавець запропонував за 100 доларів розіслати рекламні повідомлення за адресами в базі даних.
У зв'язку з тим, що виникла підозра на витік конфіденційної інформації користувачів системи WebMoney, до розслідування інциденту підключилася компанія InfoWatch, що спеціалізується на запобігання витоків і захисту від інсайдерів. Експерти вступили в листування з продавцем і придбали копію бази даних, яка являє собою текстовий файл розміром приблизно 6 Мб, де на кожному рядку розміщений один адресу електронної пошти користувача системи WebMoney.
Таким чином, фахівцям InfoWatch вдалося з'ясувати, що мова йде лише про базу поштових адрес, які самі по собі не є конфіденційними. Проте, продавець бази вказав, що це адреси всіх користувачів WebMoney, так що деякі підозри все ж залишилися.
Компіляція бази даних
Аналіз сайту атестації ( http://passport.webmoney.ru/ ), На який посилався автор рекламного повідомлення, показав, що будь-хто може ввести 12-ти значний WMID (ідентифікатор користувача WebMoney), щоб перевірити атестат користувача системи електронних платежів. Було також встановлено, що в результаті такого запиту сервер WebMoney повертає персональні відомості власника WMID, багато з яких приховані від перевіряючого. Однак поштову адресу найчастіше доступний для перегляду. Результат перевірки атестата користувача, чий WMID складається з дванадцяти нулів, представлений на малюнку нижче. Цю ж сторінку можна відкрити, пройшовши за посиланням ( http://passport.webmoney.ru/asp/CertView.asp?wmid=000000000000 ).
Можна припустити, що продавець бази даних написав програму-сценарій (script), в завдання якої входить перебір всіх WMID і вичленення з отриманих сторінок поштової адреси користувача. Тим часом, безпосередньо це зробити не вийде, так як кожна сторінка, яка повертається на запит про перевірку атестата, займає близько 18 Кб, що в перерахунку на загальну кількість перевірених ідентифікаторів (так як WMID займає 12 цифр, то загальне число всіх атестатів дорівнює 999 ' 999'999'999) дає 17'999 Тб трафіку. Очевидно, що це занадто великі обсяги даних.
Результат перевірки атестата - доступний e-mail користувача
Однак у продавця і не було необхідності перевіряти абсолютно всі атестати. Адже абсолютно всі ідентифікатори, безумовно, системою WebMoney не задіяні. Дійсно, ввівши на сторінці атестації довільний WMID, користувач у більшості випадків отримає відповідь: «Цього ідентифікатора не існує в системі». Раз немає користувача, то немає і поштової адреси. Тут слід зазначити, що навіть сторінка неіснуючого ідентифікатора займає 9 Кб, так що сумарний обсяг трафіку при переборі всіх WMID в лоб все одно залишається дуже великим. Таким чином, упорядника бази даних було необхідно оптимізувати алгоритм перебору, щоб отримувати не всю 18-ти або 9-ти кілобайтні сторінку, а лише її якийсь елемент, що дозволяє однозначно судити, існує такий WMID в системі чи ні.
Коли стало очевидно, що в продаваної базі поштових адрес не міститься конфіденційної інформації і що в складанні масиву даних не брали участь інсайдери з WebMoney, експерти InfoWatch повторно вступили в листування з продавцем і запропонували йому пояснити механізм оптимізації запитів до сервера атестації.
Продавець бази даних представився Олександром і повідомив, що дійсно оптимізував свої запити так, щоб отримувати не всю сторінку з атестатом, а лише картинку BL (картинка «Бізнес рівень», див. На зображенні вище прямо під датою реєстрації користувача). Зауважимо, що розмір картинки становить лише 800 байт, що істотно менше 9 або 18 Кб, які займає вся сторінка з атестатом. Причому картинку BL має абсолютно кожен користувач WebMoney. Однак якщо відкрити неіснуючий WMID, ввівши відповідний ідентифікатор в формі сайту атестації, то з'явиться сторінка, яка містить картинки BL.
У неіснуючого ідентифікатора немає картинки BL
Однак якщо отримати посилання на картинку BL у існуючого користувача WebMoney, а потім в цьому посиланню виправити WMID на будь-який не існуючий (тобто спробувати звернутися до картинки неіснуючого користувача безпосередньо), то сервер атестації все одно поверне картинку «за замовчуванням»: 
. Ця картинка BL дійсно встановлена за замовчуванням для всіх неіснуючих WMID. Зауважимо, що містить вона не цифри (як наприклад, на дві картинки вище), а слово «up ...». Таким чином, програма-сценарій кожен при скачуванні картинки BL з сервера WebMoney вважала для неї хеш-значення і порівняла з хеш-значенням картинки . В результаті вдалося істотно заощадити на трафіку (з 17'999 Тб до 800 Тб) і отримати в кінці ідентифікатори тільки існуючих користувачів WebMoney. Продавана база містить 1'976'482 адреси, отже, для збору адрес потрібно завантажити рівно стільки ж 18-тікілобайтних сторінок. Це 35,5 Гб трафіку, що взагалі не представляє ніяких проблем.
Відзначимо, що метод оптимізації запитів, обраний продавцем бази, хоча і спрацював, містить деякі огріхи. Справа в тому, що навіть у існуючих ідентифікаторів поштова адреса може бути закритий власником. Іншими словами, картинка BL буде для такого WMID відрізнятися від , Але поштової адреси на сторінці все одно не буде. Однак таких винятків не так вже й багато, так що в подальшій оптимізації сенсу не було.
Вступивши в переписку з експертами InfoWatch, продавець повідомив, що на скачування всіх картинок BL його серверу потрібно рівно 27 днів. Ще три дні пішло на отримання сторінок для вже існуючих ідентифікаторів і вичленення з них поштових адрес. В результаті за 30 днів була складена база практично всіх користувачів системи WebMoney (за рідкісними винятками, зазначеними вище). Продавець також висловив невдоволення пропускною спроможністю свого сервера (всього 34 Мб / сек).
Бізнес на межі закону
На думку Олександра, що продається база «здатна збільшити продаж цифрових товарів», так як користувачі системи WebMoney є найбільш платоспроможними. Іншими словами, база призначена для професійних спамерів, які тепер можуть направити рекламу на конкретну цільову аудиторію. Продавець повідомив, що не має зв'язків з іншими спамерами і всі замовлення виконує сам (наприклад, розсилання реклами по базі користувачів WebMoney за 100 доларів). Відзначимо, що свої листи з пропозицією купити базу Олександр розіслав якраз по базі користувачів WebMoney.
Експертам InfoWatch здалося цікавим з'ясувати, яким попитом користується така база в російському сегменті Інтернету. Як виявилося, коли Олександр розіслав 30 тис. Своїх рекламних повідомлень з пропозицією придбати базу, у нього з'явився один покупець. Всього ж Олександр продав базу 45 разів і здійснив 7 рекламних розсилок. Звідси легко підрахувати сукупні доходи продавця на сьогоднішній день - 1'150 доларів (45х10 + 7х100).
Коли фахівці InfoWatch поцікавилися в Олександра, чи вважає він, що порушує якісь російські закони, то продавець відповів: «Так, є трохи, але я взяв те, що відкрито у користувачів системи». З цим навряд чи хтось сперечатиметься, так як система WebMoney дійсно виявилася вразливою до атаки такого роду. Тим часом, той факт, що це дійсно атака, не викликає сумнівів. Адже навряд чи користувачам або власникам системи WebMoney було приємно дізнатися, що адреси всіх власників WMID можуть бути зібрані в одну базу. На думку Олександра, розробникам сервера атестації було досить вставити хоча б секундну затримку при скачуванні картинок BL, щоб істотно ускладнити збір адрес. Тим часом, Олександр відчуває себе впевнено і не боїться за власну анонімність. Оплату за свій товар і свої послуги він приймає по тій же системі WebMoney (а також Yandex.Money) і не хвилюється, що його вирахують. «Proxy завжди допомагають», - каже Олександр.
Таким чином, користувачі системи електронних платежів WebMoney найближчим часом можуть зіткнутися з надзвичайно інтенсивним потоком спаму. Даний інцидент повинен послужити уроком для керівників WebMoney і інших систем, так як будь-які персональні відомості зареєстрованих користувачів повинні бути максимально приховані від очей спамерів та інших зловмисників. Навіть якщо власник атестата хоче залишити свій e-mail в публічному доступі, розробники системи повинні подбати про те, щоб запобігти автоматичний збір всіх цих адрес. Адже сформувавши свою базу, спамери безумовно націляться на нову платоспроможну цільову аудиторію. Тим часом, поки що приватність в системах електронних платежів залишає бажати кращого.
«Перш за все, в Інтернеті сьогодні все дуже безладно відносяться до приватних даних. Це проблема живих журналів, блогів, форумів і т.п. Однак в даному випадку, на мій погляд, тут проблема полягає саме в тому, що WebMoney є фінансовою системою і зі своїми користувачами пов'язана якраз грошовими узами. Якби спамери обібрали поштові адреси якогось футбольного форуму, то ніхто б і бровою не повів, хоча спам все, безумовно, засуджують. Тут же ми повинні реагувати найрішучішим чином, так як в наступний раз витекли персональні відомості користувачів системи платежів можуть виявитися не в приклад серйозніше поштових адрес. Та й використані вони будуть не для розсилки спаму, а для очищення чужих гаманців », - коментує Денис Зенкин, директор по маркетингу компанії InfoWatch.
Asp?