Portal randkowy Topface zapłacił za nieujawnianie wycieku danych

Rosyjski portal randkowy, Topface.com, padł ofiarą udanego ataku, w wyniku którego cyberprzestępcy weszli w posiadanie bazy około 20 milionów adresów mailowych. Nie byłoby w tym doniesieniu nic szczególnie istotnego (do takich ataków dochodzi coraz częściej), gdyby nie fakt, że Topface zaproponowało przestępcom „okup”, by nie dopuścić do sprzedaży danych na czarnym rynku.

Dmitry Filatov, CEO Topface.com, oficjalnie poinformował, że sprawca został zidentyfikowany, a sama firma zaoferowała mu pewną kwotę pieniędzy (dokładna suma nie została ujawniona) jako nagrodę za „znalezienie podatności” umożliwiającej wykradzenie danych. Poinformowała również o podjęciu współpracy z włamywaczami przy dalszych pracach nad zabezpieczeniami portalu.

Filatov zapewnił, że jedyne dane jakie wyciekły, to same adresy skrzynek poczty elektronicznej, bez haseł. W oficjalnej informacji na stronie https://team.topface.com/news znalazły się też podziękowania dla firmy EasySolutions za wykrycie wycieku i ujawnienie sprawcy (crackera o pseudonimie „Mastermind”), a także wskazówka, by na wszelki wypadek użytkownicy dokonali jednak zmiany swoich haseł (co budzi pewne wątpliwości co do zawartości wycieku).

W całej historii najbardziej istotny staje się fakt, że Topface zapłaciło przestępcy za własne dane oraz, o ile informacja nie jest jedynie PR-ową zagrywką, zaproponowała współpracę. Tajemnicą pozostaje m.in. kwota, jaka została zaproponowana oraz inne szczegóły.

Wydaje się to diametralnie różnym podejściem od tego, co reprezentują np. firmy amerykańskie (które przynajmniej oficjalnie trzymają się doktryny „nie negocjujemy z terrorystami” i każdy tego typu atak natychmiast staje się obiektem zainteresowania m.in FBI czy Secret Service). Czy ktoś wyobraża sobie sytuację, gdy np. sieć marketów Target, ofiara jednego z najgłośniejszych wycieków danych o kartach kredytowych w zeszłym roku, proponuje złodziejom pieniądze zamiast zgłosić incydent odpowiednim służbom?

Pomijając domysły i przypuszczenia, postawa portalu może stanowić świetną zachętę dla wszelkiej maści cyberprzestępców, bo daje wyraźny sygnał, że są firmy gotowe zapłacić za utracone dane i nie stanowi w żadnym razie pozytywnego przykładu dla innych w postępowaniu w podobnych sytuacjach.
Żródła:

Oficjalna informacja na stronie Topface:
https://team.topface.com/news

Informacja prasowa NBC News:

http://www.nbcnews.com/tech/security/online-dating-site-topface-pays-hacker-not-reveal-email-addresses-n297116

Informacja na stronie formy EadySolution

http://newblog.easysol.net/dating-site-breached/

–bl4de