Обозреватель “Ъ FM” Дмитрий Буткевич рассказывает, какие уязвимости в системе безопасности аукционного дома нашли немецкие эксперты.
Фото: Sion Touhig / Getty Images
Фото: Sion Touhig / Getty Images
Неожиданная новость о небезопасности крупнейшего мирового аукционного дома Christie’s. Эксперты из немецкой исследовательской компании по кибербезопасности Zentrust Partners — некие Чирсич и Зильх — обнаружили уязвимость в системе контроля за грузоотправителями аукционного дома. По их заявлениям, данные GPS которые практически общедоступны, были настолько верными, что с точностью до нескольких метров можно было определить, где именно сделали фотографию и, следовательно, где хранятся в данный момент произведения искусства.
По словам экспертов, когда желающие продать свои предметы, будущие грузоотправители, загружают изображения на сайт Christie’s, к ним часто добавляется информация GPS. На странице «Запрос аукционной оценки» говорится, что потенциальный продавец может залить до трех фотографий работы в свою «бесплатную онлайн-службу оценки аукциона» для рассмотрения. Несмотря на то, что еще в июне исследователи связались с Christie’s по поводу нарушения безопасности, дом не устранял уязвимость до вторника на этой неделе. Почему — непонятно.
Чирсич и Зильх заявили, что бесплатно предложили помощь в устранении уязвимости, но неназванный руководитель Christie’s сказал им, что аукционный дом «не нуждался в каких-либо советах или помощи» и что проблема была направлена внутренней службе безопасности. «Как исследователи кибербезопасности мы были очень удивлены такой реакцией»,— сказал Зильх, отметив, что хотя многие компании платят white hat hackers (хакерам в белых шляпах) за поиск уязвимостей в их системах, Christie’s, похоже, «не поддерживает такую программу».
Дуэт обратил внимание на Christie’s после того, как знакомый спросил их, насколько безопасным является обслуживание там. Чирсич рассказал, что «к сожалению, потребовалось всего несколько минут, чтобы обнаружить эту серьезную уязвимость». По словам «белых» хакеров, «требуется всего несколько часов, чтобы временно закрыть уязвимость, и два дня, чтобы полностью устранить проблему».