Молчание смерти подобно

Сначала немного истории.

В конце сентября на целом ряде маргинальных торговых площадок появилось объявление о продаже базы данных петербургского оператора Valuehost, содержащую логины и пароли к 101 тыс. сайтов. Как уверял продавец, скрывавшийся под псевдонимом Money-monster, всего за 8886 рублей любой желающий получит коды доступа около 70 тыс. клиентов этой компании. Такие данные, сами понимаете, могли бы дать в руки злоумышленникам бесценные инструменты для полного контроля веб-сайтов. Сам ValueHost хранила молчание.

Несмотря на дату объявления, настоящий гром грянул только в середине октября. Именно тогда информация об инциденте вылилась в заголовки средств массовой информации, о чем первой сообщила газета «Деловой Петербург». Интересно, что и тогда пострадавшая компания сохранила почти полное молчание, ограничившись фразой о проведении внутреннего расследования. Правда, о его результатах мы так ничего и не узнали.

Молчаливая тактика ValueHost действительно могла бы достигнуть цели по-тихому замять дело. Но уже через неделю юристы из портала LawMix.ru опубликовали пресс-релиз, где предлагали всем пострадавшим свои услуги по расторжению договоров и оспариванию штрафных санкций со стороны провайдера по причине предоставления некачественных услуг. В данном случае под «некачественностью» подразумевалась компрометация конфиденциальных данных. Реакцию ValueHost вы уже, наверное, предвосхитили. Действительно, компания хранила молчание.

Но время настоящих проблем, похоже, еще не пришло. Они начались 1 декабря, когда «Лаборатория Касперского» опубликовала занятнейший материал о массовом заражении веб-сайтов ValueHost троянской программой Psyme. Все началось с жалобы посетителя сайта www.5757.ru, предоставляющего ныне популярные SMS-услуги. Установленный Антивирус Касперского, как положено, четко отработал попытку проникновения на компьютер, однако информация об инциденте все же дошла до «Лаборатории». И хорошо, что дошла. Дальнейшие исследования выявили аж 470 (sic!) инфицированных сайтов, причем все они являлись клиентами провайдера.

Между тем, Psyme – это не какой-нибудь хулиганский вирус, а нечто гораздо более серьезное. Эта вредоносная программа принадлежит к классу Trojan-Downloader, которая, по сути, открывает для злоумышленников ворота для доступа к зараженному компьютеру. С ее помощью можно устанавливать других зловредов, превратить компьютер в зомби для рассылки спама или участия в распределенной хакерской атаке, снимать любую информацию, в том числе коды доступа к банковским счетам и многое другое. Настолько многое, что проще сказать чего он не может. А не может он, разве что, спеть Интернационал.

Естественно, что руководство ValueHost было поставлено в известность об обнаруженной проблеме. Но… До сих пор корпоративный сайт компании, ровно как и пресс-служба хранит молчание.

На этом оставим историю и перейдем к анализу происшедшего. Казалось бы, слишком много совпадений: сначала известие о краже базы данных, затем отток клиентов, а теперь и массовое заражение сайтов. Напрашивается вопрос: а почему заражению подверглись сайты именно ValueHost? Не след ли это той самой базы данных, утекшей в сентябре? Даже несмотря на предупреждение провайдера многие клиенты могли забить на смену кодов доступа к своим сайтам и, таким образом, стройно влиться в группу риска быть взломанными.

С другой стороны, не исключено, что имеет место простое совпадение. Psyme также обнаружен и на сайтах других хостинг-операторов, хоть и не в таком количестве. К сожалению, сейчас невозможно выстроить точную цепочку причинно-следственных связей. Молчаливая тактика ValueHost сделала свое дело, создав информационный вакуум, дающий возможность только для предположений.

Однако давайте посмотрим на молчание с другой стороны. Как оно отразилось на бизнесе компании в целом и на ее репутации?

С самого начала ValueHost мог предупредить волну негатива, просто проанализировав факты. А факты штука упрямая: оказывается в самом начале на торговых площадках база данных больше напоминала куклу. Прикиньте, как можно было запихнуть пароли и логины 100 тысяч сайтов в файл объемом 349 байт? Эту точку зрения разделяют и российские борцы с инсайдерами из компании InfoWatch. Всего один пресс-релиз мог охладить пыл СМИ, конкурентов и юристов-ловкачей из LawMix.ru. В этом случае гораздо проще было бы бороться и с негативными умозаключениями, связывающими утечку и распространение троянца. Раз утечки не было, то массовое заражение имеет другие корни, да и с кем этого не происходит – такие инциденты сегодня случаются сплошь и рядом. Для отвода глаз можно было сделать специальный раздел сайта, посвященный безопасности, разослать предупреждения клиентам о необходимости срочной смены паролей, и выйти из воды почти сухим. Но ValueHost.ru хранил молчание.

Мне неизвестны финансовые показатели провайдера, но уверен, что последний месяц характеризуется если не массовым, то все же оттоком клиентов. Массовый отток, скорее всего, еще впереди. Информация о Psyme еще не получила широкой огласки и многие пользователи все еще пребывают в неведении. Даже если системные инженеры ValueHost самостоятельно прошерстят все зараженные сайты и удалят троянскую программу, не исключено, что случай повторится.

Была утечка или нет – мы можем только догадываться. Если ли связь между ней и массовым заражением – из той же области предположений. Но сердце кровью обливается, когда я вижу полную индифферентность руководства компании к происходящему. Имея на руках сильнейшие козыри, ValueHost пустила проблему на самотек. А она, в свою очередь, все больше напоминает катящийся снежный ком, который чем дальше, тем больше угрожает бизнесу. Молчание, конечно, неотъемлемая часть антикризисного управления, но его монопольное положение чревато непоправимыми последствиями.