Браконьеры в поисках уязвимостей

Специалисты Managed Security Services корпорации IBM сообщили о сравнительно новом способе заработка, который освоили киберпреступники. Он получил название bug poaching, что можно приблизительно перевести как «браконьерская охота за уязвимостями». Суть его состоит в том, что хакеры получают доступ к серверам крупных компаний. Определив потенциально ценную информацию, киберпреступники похищают ее и помещают в облачное хранилище. Затем руководству компании отправляется сообщение со ссылкой на похищенные данные и предложением заплатить за информацию об уязвимостях, которые позволили их похитить.

По данным Managed Security Services, не менее 30 крупных компаний столкнулись с подобными ситуациями в прошлом году, а сумма «гонораров» за рассказ об уязвимостях доходила до 30 тысяч долларов. Как отмечает исследователь IBM Джон Кун преступники пытаются представить свои действия как исключительно благородные. Они, якобы, предлагают бизнесу заплатить за укрепление своей кибербезопасности вместо того, чтобы продавать похищенные данные или уничтожать их. Однако действия хакеров являются в любом случае незаконными и уголовно наказуемыми. Самое же главное состоит в том, что платить, строго говоря, не за что. Ни в одном из расследованных специалистами IBM подобных случаев не были задействованы уязвимости нулевого дня. Зато очень широко использовались атаки с внедрением SQL-кода, эксплуатирующие давно известные уязвимости, которые IT-специалисты соответствующих компаний попросту не удосужились ликвидировать, своевременно обновив ПО.