Взломом крупных корпоративных систем теперь уже никого не удивишь. После бурного 2011-го, когда рухнули цифровые защиты DigiNotar и Citibank, RSA и Lockheed Martin, едва не лишилась бесценной торговой системы Goldman Sachs и получила месяц оффлайна многомиллионная Sony PlayStation Network, кажется, уже никакое новое чудачество кибервандалов не способно поразить воображение. Да и сами корпорации умнеют на глазах: шифруют списки кредитных карт, разграничивают права доступа клиентов и сотрудников, лоббируют ужесточение законодательства.
Но ни продуманная ИТ-политика, ни суровые законы, к сожалению, не спасают от новых взломов и едва ли облегчают долгосрочные последствия. Не верите — спросите у Zappos, сутки назад признавшей утечку некоторых (sic!) сведений о 24 миллионах своих покупателей.
На данный момент об инциденте известно немного. Некий злоумышленник невыясненным образом проник на один из серверов компании и прежде, чем проникновение обнаружили, похитил базу данных, содержащую конфиденциальную информацию о клиентах самой Zappos и её дочернего ресурса 6PM.com. К счастью, номера кредитных карт и сопутствующая платёжная информация вору не достались (они либо были зашифрованы стойким крипто, либо хранились в отдельной базе — компания не распространяется на этот счёт). Утекли менее ценные сведения, как то: имена, адреса (электронной почты и проживания), телефоны, пароли в зашифрованном виде и четыре последних цифры номеров кредиток. Расследованием уже занялось ФБР.
Тут стоит сделать отступление и пояснить, что Zappos была основана в 1999 году как обувной интернет-магазин. С годами она расширила сферу деятельности на одежду и аксессуары, пару лет назад перешла под крыло Amazon.com (за сумму, близкую к одному миллиарду долларов), но до сих пор функционирует во многом независимо от своего хозяина. Amazon сочла разумным не вмешиваться в дела Zappos, чтобы не навредить её уникальной корпоративной культуре.
К этому вопросу мы ещё вернёмся, а пока — констатируем, что Zappos оказалась неожиданно (для продавца, простите, шмоток) хорошо подготовленной к взлому: номера кредитных карт размещены отдельно, пароли пользователей хранятся в шифрованном виде, не открытым текстом. Конечно, взлом всё-таки произошёл, но это вряд ли вина компании — ключик можно подобрать к любой двери.
Так о чём волноваться, если номера кредиток и пароли не тронуты? Проблема в том, что даже полученных взломщиком сведений достаточно для проведения множества атак, как ради дополнительной информации, так и непосредственно для денежной выгоды. Имея на руках имена, адреса, телефоны и последние цифры номера кредитки можно (конечно, обманом) попробовать выжать из пользователя полные реквизиты пластиковой карты, а то и получить доступ к его банковскому счёту.
Зашифрованные пароли стоит попытаться расшифровать и где-нибудь применить. Если пользователь ленив и секретное слово коротко, взлом его займёт всего несколько часов — и пусть залогиниться в Zappos с ним скорее всего уже не получится (компания сразу же попросила пользователей сменить пароли), можно попробовать Facebook, Twitter и кучу других популярных места: из-за той же самой лени люди часто используют один пароль на разных веб-ресурсах. Спецы по безопасности не исключают также использования украденных данных для атак самой Zappos, кредитно-финансовых учреждений, работодателей.
О ценности утекшей информации можно судить и по следующим цифрам. В McAfee считают, что взломщик Zappos не станет использовать захваченную базу сам. Он продаст её по частям на чёрном рынке (вероятно там же, где торгуют ресурсами и результатами работы бот-сетей), по сотне долларов за каждую десятку тысяч пользователей. А уже покупатели займутся разработкой этой золотой жилы.
Будет ли использована украденная информация? Может быть McAfee и их коллеги сознательно нагоняют страху? Ведь «обошлось» в случае PlayStation Network, когда под ударом оказались 77 миллионов клиентов? Проблема в том, что исключать вероятность худшего нельзя.
Даже если шансы стать жертвой мошенника невелики, каждому из совершавших покупку в Zappos и 6PM.com стоит вырастить глаза на затылке: с подозрением относиться к телефонным звонкам, к письмам с просьбой подтвердить или обновить персональные данные, скрупулёзно проверить историю операций по кредитным картам, перепроверить и изменить при необходимости пароли, и хотя бы в ближайший год не ослаблять внимание. И начать лучше прямо сейчас: кто знает, может быть Zappos забила тревогу, когда её базу уже продали мошенникам?
Кризис доверия плох для любого бизнеса, но для Zappos лояльность покупателей особенно важна. Секретом успеха, поднявшим годовые продажи с одного миллиона до одного миллиарда долларов здесь считают уникальную корпоративную культуру. Когда в 2000 году компанию возглавил один из ранних её инвесторов, Тони Сай, Zappos была всего лишь продавцом обуви. Сай поставил перед подчинёнными ряд задач, направленных на улучшение имиджа компании в отдалённой перспективе — и сегодня «обувной магазин» превратился в преуспевающего веб-ритейлера, каждая клеточка которого пропитана одной идеей: сделать клиента довольным.
Каждая покупка в Zappos должна приятно удивлять. Звонок в службу поддержки должен напоминать общение с родным человеком, и уж конечно недопустимо, чтобы клиент «висел» на линии полчаса, ожидая ответа. От первого до последнего сотрудника компания должна выглядеть одинаково интересно, свежо, молодо. Так что, говорят, здесь даже собеседований проводится два: на соответствие функциональное и культурное. И пусть это требует дополнительных расходов, в конце концов все они окупятся — благодарными покупателями.
Теперь Zappos отчаянно пытается не захлебнуться. Вал звонков, перегрузивший колл-центр компании, заставил отключить телефонную поддержку — чтобы ещё больше не злить и без того расстроенных и напуганных клиентов. Каждый сотрудник обязан в свободные минуты отвечать на запросы пользователей через Интернет. Тони Сай лично обратился к покупателям, подробно и честно рассказав о случившемся.
И тем не менее сегодня ночью подан первый иск против Zappos (точнее, её владельца, Amazon.com). Компанию обвиняют в неспособности предотвратить кражу конфиденциальной информации, от неё требуют оплатить расходы, которые могут возникнуть у покупателей вследствие взлома (на мониторинг кредитных карт, меры против похищения личности и пр.), компенсировать возможный ущерб и эмоциональный стресс.
Чем закончится этот скандал, только-только начинающий разгораться, предвидеть вряд ли возможно — да это и не так важно. Случившееся с Zappos важно потому, что оно продемонстрировало неустранимую природу присущего каждому интернет-бизнесу недостатка. Если ещё год назад типичной реакцией на известие об очередном большом взломе было требование усилить и ужесточить (охрану, законы и т.п.), сегодня энтузиазм защитников как-то подувял. В смысле ИТ-политики Zappos всё делала как надо — и тем не менее её клиенты могут пострадать точно так же, как могли пострадать клиенты Sony, RSA или Citibank из примеров выше.
Электронная коммерция наращивает обороты, новогодние распродажи нынче были рекордными по объёмам проданного онлайн. Вероятно, самое время признать, что только техническими и правовыми средствами с воровством персональных данных не справиться. Может быть пора страховать от хищения таких материалов? А может быть уже страхуют?