Филатов, Topface: Хакера нашли — не наказали, а дали премию

Развитие событий: Касперский сел на хвост Бараку Обаме — президент подтолкнул в СМИ старую историю Лаборатории (16 февраля 2015)

Дейтинг TopFace нашел хакера, получившего доступ к 20 млн аккаунтам сервиса. Гендиректор компании Дмитрий Филатов пишет в своем фейсбуке:

Провели расследование. С хакером связались — оказался милый парень! Дали ему премию за найденную уязвимость, договорились дружить и сотрудничать. Данные никуда не утекли, продаваться тоже не будут. Все хорошо.

Из пресс-релиза:

По результатам проверки нам удалось выявить уязвимость, через которую хакер мог получить доступ к адресам электронной почты наших пользователей. Касательно характера утечки — речь идет только о самих адресах электронной почты — мы уверены, что доступа к другой информации — ни к паролям, ни к содержанию самих аккаунтов (личная переписка или фотографии) у взломщика не было.

Мы смогли найти и связаться с хакером, который опубликовал объявления о продаже базы (а потом удалил их). Он подтвердил результаты нашего расследования, а также заключил с нами соглашение о дальнейшем нераспространении полученной им базы адресов электронной почты.

В связи с тем, что он никому не продавал полученные данные и не собирается делать этого в будущем, мы не будем привлекать его к ответственности, более того, мы выплатили ему премию за обнаруженную уязвимость и договорились о дальнейшем сотрудничестве в сфере безопасности данных.

Также, мы хотели бы поблагодарить компанию Easy Solutions, первую обнаружившую объявление об утечке и оказавшую содействие в нашем расследовании.

26 января на хакерском рынке выставили на продажу данные 20 млн аккаунтов e-mail и логинов пользователей TopFace. В самой компании об этом узнали из СМИ.

Добавить 3 комментария

  • Ответить

    Красиво разошлись. помню контакт также года три назад премии выплатил за дырки в апи.

    Приятно когда делают так, а не в суд тащат. именно после таких кейсов есть надежда на формирование цивилизованных (относительно, конечно) отношений с хакерами — украденные базы не продаются направо и налево, а передаются в компанию с репортом об уязвимости. за деньги конечно.

    Все довольны. данные пользователей не слиты, компания закрывает дырку, нашедший ее — с деньгами.