В одной из рекламных рассылок неизвестные предлагают приобрести базу данных электронных адресов пользователей системы WebMoney Transfer всего за 10 долларов, - сообщает компания InfoWatch. По утверждению самого продавца, адреса ему удалось собрать открытым способом на сайте аттестации WebMoney. Сотрудники InfoWatch заинтересовались необычным товаром, полагая, что речь идет об утечке информации с участием инсайдеров. Выступив в роли покупателей, они получили текстовый файл, где на каждой строчке был размещен адрес электронной почты. Сами по себе, адреса, даже если они действительно принадлежат пользователям WebMoney, не представляют собой конфиденциальной информации. Продавец сообщил экспертам InfoWatch, что база была собрана из открытых источников с помощью скрипта, генерировавшего запрос на проверку WMID. Простой перебор всех возможных двенадцатизначных идентификаторов потребовал бы слишком больших расходов трафика (до 17999 Тб), причем значительное количество комбинаций оказались бы несуществующими WMID. Сборщику адресов удалось оптимизировать программу таким образом, чтобы получать не всю страницу свойств идентификатора, а лишь ее элемент (картинку). Этого оказалось вполне достаточно, чтобы отсеять «пустые» WMID. Таким образом, при небольшой пропускной способности канала и незначительном расходе трафика находчивому спамеру удалось собрать около 2 миллионов адресов. По информации InfoWatch, пока на продаже базы WebMoney и рекламных рассылках по ней ему удалось заработать чуть больше 1000 долларов. Спамер справедливо полагает, что пользователи этой платежной системы – потенциальные потребители цифровых товаров, регулярно совершающие покупки в Сети. Во всей этой истории самым примечательным является тот факт, что информация была получена абсолютно легальным способом. За формирование и продажу таких баз законом не предусмотрено никакой ответственности. «Этот инцидент показывает, что налицо серьезная брешь в федеральном законодательстве и еще раз подчеркивает необходимость скорейшего принятия и реализации как закона о персональных данных, который обязывает операторов принимать адекватные действия для защиты личной информации, так и закона о противодействии спаму», - считает Денис Зенкин, директор по маркетингу InfoWatch. По его словам, классических случаев утечки информации из российских платежных систем зафиксировано не было. «У подобных инцидентов исключительно высока степень латентности - компании предпочитают скрывать подобные случаи - и не исключено, что утечки все же были», - считает он. Сбор информации, подобный описанному, может принести лишь незначительные плоды, пригодные в ограниченных целях, например, для спама. Более серьезные происшествия всегда предусматривают инсайдера. В компании WebMoney Transfer считают версию InfoWatch маловероятной. «В системе WebMoney 10 в 12 степени идентификаторов. Даже если предположить, что ответ сервера в описанной схеме можно получить за 1 мс, то на проверку всех идентификаторов уйдет 10 в 9 степени секунд, или 37 лет. Знаете ли вы, что даже если вы нашли случайный WM ID, то на странице passport.webmoney.ru вы увидите только то, что сам владелец пожелал открыть, а e-mail по умолчанию закрыт? Процент пользователей, открывших свой e-mail добровольно, не превышает 5%. Я советую не уподобляться Буратино и не закапывать свои 10 WMZ с криками «крэкс, пэкс, фэкс». В лучшем случае вам продадут обычную спамерскую базу, в худшем - оставят без денег», - прокомментировал Петр Дарахвелидзе, представляющий WebMoney Transfer. Система «Яндекс.Деньги» не предоставляет доступ к персональным данным пользователя через удаленный интерфейс. «Мы считаем проблему кражи любой персональной информации о клиенте весьма серьезной, так как знание даже самой на первый взгляд незначительной персональной информации о клиенте может стать звеном в цепочке, приводящей к обману пользователей от чужого имени и возможной дискредитации владельца персональной информации», - заметил технический директор и руководитель службы безопасности компании «Яндекс.Деньги» Сергей Волков. palitra.info