Hakerzy mają Stratfora

Jeszcze we wtorek wieczorem nie można było wejść na stronę Strategic Forecasting. Trzy dni po ataku hakerów jedna z najbardziej znanych firm zajmujących się analizą danych wywiadu witała użytkowników zdawkowym komunikatem: „Aktualnie strona przechodzi prace konserwacyjne". Na czym one polegały, nie wiadomo, bo władze spółki z Austin w stanie Teksas nie podały żadnego numeru kontaktowego – ale musiały być zakrojone na szeroką skalę, skoro trzeba było wyłączyć cały portal.

W czasie świąt Stratfor padł ofiarą cyberwłamywaczy, którzy wykradli dane dziesiątek tysięcy klientów serwisu: hasła, loginy, adresy, a przede wszystkim numery kart kredytowych. Dokładnego zakresu szkód nie zna zapewne nikt poza sprawcami. Co gorsza, nie znają go nawet władze Stratfora. Świadczy o tym choćby list, który rozesłały do indywidualnych prenumeratorów płatnego newslettera.

„Mamy powody, by przypuszczać, że twoje dane osobowe i numery karty kredytowej mogą być częścią informacji, które zostały nielegalnie zdobyte, a następnie ujawnione", czytamy w pierwszym akapicie. W drugim Stratfor „uspokaja", że ujawnione dane dotyczą tylko ich, bo „lista nie zawiera danych osób i organizacji, których relacje ze Stratforem wykraczają poza subskrypcję". Inni, którzy – jak autor niniejszego artykułu – zapisali się na bezpłatne newslettery, otrzymali informację ze źródeł niezależnych od Stratfora, że ich loginy i hasła zostały opublikowane w Internecie.

Przy okazji włamania wydało się, że jeden z najbardziej cenionych dostawców analiz z zakresu obronności i geopolityki, z których korzysta armia USA, a nawet Biały Dom, zupełnie nie chroni danych swoich klientów. Według hakerów nie dość, że dostęp do nich był słabo zabezpieczony, to jeszcze nie były one zaszyfrowane, choć Stratfor miał do tego specjalny program o nazwie Ubercart. Włamywacze twierdzą, że lista miała postać zwykłego pliku tekstowego, który można otworzyć dowolnym edytorem.

– Niezaszyfrowane dane to jeden skandal. Drugim jest to, że Stratfor magazynował dane kart kredytowych swoich klientów, co jest wbrew umowie z MasterCard i Visa – mówi „Rz" Sean Sullivan, ekspert w dziedzinie bezpieczeństwa danych w fińskiej firmie software'owej F-Secure.

Hakerzy, którzy poinformowali o włamaniu do Stratfora, mieli maski Guya Fawkesa – takie jak uczestnicy niedawnych manifestacji „oburzonych". Twierdzili, że są przedstawicielami Anonymousa – grupy, która ma na koncie kilka takich epizodów. Anonymous jednak odciął się od incydentu.

Cyberwłamywacze, kimkolwiek byli, dostali się na serwery Stratfora przez portal Pastebin.com. Jak to zrobili, można się tylko domyślać, ale nie ma wątpliwości, że informatycy Stratfora nie wywiązali się ze swoich obowiązków. – Przygotowania do włamania trwały na pewno tygodnie – mówi „Rz" ekspert, który przez ponad dziesięć lat chronił serwery polskiego rządu przed hakerami, zna więc ich metody działania. – Zbudowali tak zwaną relację zaufania, czyli otworzyli sobie niewinne konto, na którym prowadzili zwyczajną aktywność, opracowując w tym czasie metody wejścia na serwer Stratfora. Mogli to zrobić albo złamawszy hasło, albo za pomocą specjalnych skryptów, które przenoszą użytkownika między stronami internetowymi. Ofiara była słabo zabezpieczona: albo miała łatwe do złamania hasło, albo błędy w zabezpieczeniach. Najbardziej nieprofesjonalne było jednak to, że nikt nie wykrył próby nieautoryzowanego wejścia – podsumowuje ekspert, twierdząc, że nawet w czasie dni wolnych od pracy informatycy muszą sprawdzać bezpieczeństwo systemu.

Hakerzy zapowiedzieli, że środki z kart kredytowych zasilą organizacje charytatywne

Włamywacze zapowiedzieli, że środki z kart kredytowych klientów Stratfora zasilą organizacje charytatywne. – To chwytliwe hasło, bo sugeruje ludziom, że mają do czynienia z internetowym Robin Hoodem, który zabiera bogatym i daje biednym – mówi Sean Sullivan. – Ale to głupia strategia. Organizacje będą musiały zwrócić te pieniądze, a to narazi ich na stratę czasu i dodatkowe koszty.

Stratfor bagatelizuje sprawę. Odsyła klientów do urzędów w Stanach Zjednoczonych. Także Polaków.

Masz pytanie, wyślij e-mail do autora r.kostrzynski@rp.pl