Дейтинг TopFace нашел хакера, получившего доступ к 20 млн аккаунтам сервиса. Гендиректор компании Дмитрий Филатов пишет в своем фейсбуке:
Провели расследование. С хакером связались - оказался милый парень! Дали ему премию за найденную уязвимость, договорились дружить и сотрудничать. Данные никуда не утекли, продаваться тоже не будут. Все хорошо.
По результатам проверки нам удалось выявить уязвимость, через которую хакер мог получить доступ к адресам электронной почты наших пользователей. Касательно характера утечки — речь идет только о самих адресах электронной почты — мы уверены, что доступа к другой информации — ни к паролям, ни к содержанию самих аккаунтов (личная переписка или фотографии) у взломщика не было.
Мы смогли найти и связаться с хакером, который опубликовал объявления о продаже базы (а потом удалил их). Он подтвердил результаты нашего расследования, а также заключил с нами соглашение о дальнейшем нераспространении полученной им базы адресов электронной почты.
В связи с тем, что он никому не продавал полученные данные и не собирается делать этого в будущем, мы не будем привлекать его к ответственности, более того, мы выплатили ему премию за обнаруженную уязвимость и договорились о дальнейшем сотрудничестве в сфере безопасности данных.
Также, мы хотели бы поблагодарить компанию Easy Solutions, первую обнаружившую объявление об утечке и оказавшую содействие в нашем расследовании.
26 января на хакерском рынке выставили на продажу данные 20 млн аккаунтов e-mail и логинов пользователей TopFace. В самой компании об этом узнали из СМИ.
Добавить 3 комментария
Красиво разошлись. помню контакт также года три назад премии выплатил за дырки в апи.
Приятно когда делают так, а не в суд тащат. именно после таких кейсов есть надежда на формирование цивилизованных (относительно, конечно) отношений с хакерами — украденные базы не продаются направо и налево, а передаются в компанию с репортом об уязвимости. за деньги конечно.
Все довольны. данные пользователей не слиты, компания закрывает дырку, нашедший ее — с деньгами.
Т.е. публике предлагается поверить на слово дырявой компании и какому-то левому хакеру? ну оок, мы конечно верим :)
Не вижу повода для сомнений. конторе важно хоть как сохранить репутацию. хакер и деньги получит и проблем с законом избежит.