http://www.[censored].org/rus/news/2002/12/26/velcom
Вот так то вот
Добро пожаловать в мобильный ад
10:56, 26/12/2002, Николай Речицкий, Згода
Пожалуй, самое страшное, что может присниться менеджеру крупной компании, работающей с сотнями тысяч клиентов, это крупная утечка конфиденциальной информации, доведенная до сведения общественности. В конце ноября для менеджеров белорусского сотового монстра “Велком” ночной кошмар стал реальностью.
Песец подкрался незаметно
Первая попытка продажи базы данных “Велкома” на “черном рынке” имела место еще около года назад. Но тогда выставленная оферта по цене тысяча долларов оказалась “липой”. Знающие люди говорят, что уже в июле 2002 можно было за опреденную сумму получить в свои руки вполне реальный компакт-диск со списком из более чем 250 000 номеров телефонов, ФИО и главное — балансом счетов клиентов самой крупной белорусской компании сотовой связи. И вот в начале декабря клиентская база “Велкома” стала доступна всем пользователям байнета.
Один из “пиратов”, вывесивших в интеренете базу для свободного доступа, утверждает, что делал это из принципа — информация должна быть свободной. По его словам, диск с файлом он купил на радиорынке в Ждановичах — там, мол, это хит сезона. Hа прилавках он, конечно, не лежит, однако по намеку заинтересованного покупателя «жареную» коробочку должны моментально вытащить из-под полы.
Подтверждать не возьмусь, лично не проверял. Да и незачем — базу уже достаточно свободно можно скачать в интернете. Зеркала нужных сайтов появляются с завидной периодичностью в несколько суток.
Теперь хватать за руки распространителей бесполезно. Продавцы дисков укажут на интернет, интернетчики — на продавцов дисков. Замкнутый круг…
Неизвестно, когда появились диски на Ждановичах. Однако первое публичное предложение велкомовской базы клиентов в интернете было сделано две недели назад — с достаточно крутой ценой в 500 долларов. В начале декабря стали появляться ссылки на бесплатные копии.
Сотрудник одной из минских фирм Александр вывесил копию базы на собственном сайте с несколькими целями. Главной было — препятствовать черным спекуляциям, дать возможность всем попробовать запретный плод бесплатно. И — не дать «Велкому» дальнейшей возможности скрывать факт утечки конфиденциальной информации. Фирма, чей месячный оборот составляет не менее 5 миллионов долларов, отреагировала быстро.
Тихая паника
Hа первый взгляд, утечка информации о номерах и владельцах телефонов не представляет собой ЧП республиканского масштаба. Hикто ведь не протестует по поводу совершенно официальной выдачи информации о квартирных телефонах по справке 009. А уж выполняющая ту же функцию программа Minsk Phonez c миллионной базой пользователей стоит практически на каждом офисном компьютере столицы. Да и вообще большинство абонентов сотовой сети (исключая бандитов и сотрудников КГБ) не имеют привычки скрывать от своих компаньонов фамилию, а от родственников — номер мобильника.
Однако более серьезную опасность представляет наличие в оригинале украденной базы поля «Баланс», содержащего сумму внесенной клиентом предоплаты. Суммы в 200–300 долларов на счету помогут гипотетической преступной группировке в считанные минуты выделить из общей массы список потенциальных жертв рэкета, киднэппинга либо шантажа. Одного этого достаточно, чтобы понять, в какую историю вляпалось предприятие “Мобильная цифровая связь” (МЦС), являющееся собственником торговой марки Velcom. «Старший брат следит за тобой» Hа сайте вышеупомянутого Александра доступ к форме поиска по телефоному справочнику был возможен недолго — лишь полдня воскресенья 9 декабря. За это время сайт посетило около полутора тысяч человек. Следует отметить, что Александр пошел по пути нанесения наименьшего ущерба. В вывешенной базе отсутствовали финансовые данные, на сам файл базы ссылки не было — лишь возможность получить информацию по номеру либо фамилии. Это априори исключало получение одним человеком информации обо всех 300 000 клиентах.
Прятаться программист не стал — на сайте был указан номер его телефона. Вечером того же дня ему позвонили. Звонивший представился коммерческим директором одного из департаментов МЦС и пригрозил “пристегнуть” строптивца к уголовному делу, возбужденному по факту хищения конфиденциальной информации.
На Александра особого действия угроза не возымела — получить базу на тот момент можно было несколькими общедоступными способами: от покупки на Ждановичах до скачивания с перманентно возникающих и исчезающих интернет-зеркал. К тому же главными фигурантами уголовного дела, если оно и будет доведено до суда, в любом случае стали бы сотрудники МЦС.
Тогда представитель МЦС попробовал давить на гражданскую совесть, упирая на потенциальный вред, наносимый открытым доступом к базе. В ответ на заверение, что база будет удалена по первой же жалобе, каковых до сих пор не поступало, находчивый велкомовец попросил рассматривать его звонок как жалобу. Немедленно доступ к базе был закрыт по доброй воле Александра.
Однако утром в понедельник проработка повторилась — на сей раз ее осуществлял товарищ с “типичной гебешной” физиономией, представившийся “сотрудником службы безопасности МЦС”. В лучших традициях “конторы” разговор велся тет-а-тет в старом “Мерседесе”, причем в основном велкомовского чекиста интересовали нюансы личной жизни и трудоустройства Александра, а также лица, предоставившие ему злополучный файл. По указанным выше причинам ощутимой пользы для следствия разговор не принес.
Закончилась беседа сакраментально: “Вы же понимаете, что никакой ценности ваша база не представляет, поскольку она устарела”. О том, что за деньги в интернете предлагали не просто единожды украденную, а самую свежую базу, сотрудник службы безопасности либо забыл, либо не знал.
Как украсть “Кларион”?
Искать корни утечки через распространителей бессмысленно — левых копий файла уже наверняка сотни. Чтобы составить представление о том, где и как могла быть совершена кража года, следует знать, какая информация была похищенна. База представляет собой файл в формате СУБД “Кларион” размером около 12 мегабайт, архивированный вариант и того меньше — 4,5 мегабайта. Этот файл может быть за считанные секунды переписан на съемный винчестер, за минуты нарезан на компакт-диске или закачан на сайт в интернете. В любом случае операция по хищению при минимальной подготовке займет не более 10 минут. Особенность украденной базы, датированной концом ноября, — она содержит приблизительно 300 000 абонентов, в то время как официально их у компании около 370 000. Судя по всему, отсутствуют служебные номера, некоторое количество недавно подключенных (предположительно) и номера абонентов, подключенных по VIP-тарифу.
Hе следует забывать и о странной уверенности “пиратов” в возможности периодического освежения данных — что автоматически исключает утечку в головном офисе, где слабое звено в любой момент может быть выявлено.
В качестве последнего штриха к картине всеобщей безалаберности и технического пофигизма следует отметить небольшой, но очень значимый факт — в компании существует возможность оплаты услуг через отделения “Приорбанка” либо “Белтелекома”. Но при подключении нового абонента такая возможность предоставляется не сразу — а лишь с пятого числа следующего за подключением месяца. А это значит, что — в нарушение всех возможных правил безопасности! — каждый месяц база данных абсолюто легально копируется на множество компьютеров в маленьких районных отделениях связи. Естественно, в эти народные списки не попадают служебные и VIP-телефоны, а также свежеподключенные номера.
А теперь угадайте, как долго служба безопасности МЦС будет искать то почтовое отделение, где сын кассирши — студент-программист, золотая голова — пару раз в месяц приходит наладить зависший компьютер?
Конечно, если делать все по уму, то база должна храниться в одном экземпляре — на сервере головного офиса МЦС. Желательно разделение базы на клиентскую часть (фамилии плюс номера) и служебную (финансовая информация). А в удаленных пунктах должны располагаться обычные терминалы, умеющие лишь две вещи — при оплате послать запрос головному серверу и получить ответ. Вряд ли организация такой системы сильно ударит по карману конторы с пятимиллионным ежемесячным оборотом. Hо это если по уму…
Show must go on!
По сути, скандал, который на Западе привел бы к немедленному разорению даже крупной фирмы, только разгорается. Hе исключено, что в ближайшее время нас ждет громкое разбирательство. Hе исключено, что “Велком” получит гору исков от своих клиентов, многие из которых давно точат зуб на контору. Hе исключено, что в этом случае государство возьмет МЦС под свою защиту. Не зря “Велком” c государственного благословения три года держал монополию на рынке, не зря поддерживал Национальный олимпийский комитет, не зря, в конце концов, его возглавляют бывшие функционеры Минсвязи.
Чего точно не будет — обвального ухода клиентов (по техническим возможностям “Велком” остается бесспорным лидером рынка) и тем более — лишения лицензии. Hикто не режет курицу, несущую золотые яйца.
Hо экс-премьер Ермошин, возглавляющий конкурирующее совместное предприятие, — учредителями которого являются УП “Междугородняя телефонная связь” и российская компания “МТС” — все же может пить шампанское.
Единственный раунд, выигранный “Велкомом” в конкурентной войне (подключение “МТС” было омрачено более чем месячным отсутствием связи между гигантом рынка и новичком), остался далеко позади. В дальнейшем все рекорды роста побивала фирма Ермошина. Агрессивная реклама, снижение тарифов, практически полный захват бедной, но хвастливой (а это бесплатная реклама) студенческой аудитории...
На фоне робкого снижения тарифов “Велкомом” — громкий скандал в его стане, который, без сомнения, даст еще около 20–30 тысяч мигрантов в сторону «МТС». Поистине, если бы велкомовского прокола не было, конкурентам стоило бы его придумать. Еще год — и титул “главной дойной коровы” государства на рынке мобильной связи сменит владельца.