Xakep #243. Лови сигнал

• Содержание выпуска


• Подписка на «Хакер»

Издание Vice Motherboard пролило свет на давнее злоупотребление, которое много лет назад позволяли себе сотрудники компании MySpace. С журналистами на условиях полной анонимности пообщались пять бывших сотрудников компании. Как оказалось, когда социальная сеть была в зените славы (около 10 лет тому назад), сотрудники злоупотребляли внутренним инструментом Overlord, о котором не было известно ранее. Данный инструмент позволял  видеть пароли пользователей и читать их сообщения.

Хотя изначально Overlord был создан для того, чтобы помочь модерировать платформу и выполнять запросы правоохранительных органов, многие источники сообщили изданию, что фактически инструмент часто применялся в незаконных целях, и сотрудники, вопреки официальным запретам, обращались к данным пользователей без чьего-либо разрешения. По сути Overlord представлял собой мощный бэкдор. В частности, его использовал персонал службы поддержки клиентов, в том числе для разрешения проблем с авторскими правами.

«Подобное есть у каждой компании, — рассказал журналистам Хеманшу Нигам (Hemanshu Nigam), бывший руководитель службы безопасности Myspace с 2006 по 2010 год.  — [Такие инструменты] используются для борьбы со злоупотреблениями, для реагирования на правоохранительные или гражданские запросы, или для управления учетными записями пользователей, с которыми возникли какие-то проблемы».

Хотя подобные решения действительно могут использоваться вполне законно, четыре бывших сотрудника MySpace подтвердили изданию, что компания не раз увольняла людей из-за злоупотребления Overlord. В частности известны случаи, когда сотрудники социальной сети использовали бэкдор для получения доступа к учетным данным своих партнеров.

Бывшие сотрудники социальной сети рассказывают, что использовать Overlord было очень просто, и тогда не казалось странным, что инструмент для администрирования имел доступ к незашифрованным паролям пользователей в формате простого текста.

Представители MySpace подтвердили журналистам, что такой инструмент действительно существует и по сей день, однако в компании заверили, что доступ к нему есть лишь у крайне ограниченного круга лиц, а злоупотребление доступом к данным пользователей ведет к немедленному увольнению. Более того, все обращения к Overlord тщательно протоколируются и проверяются, и инструмент оснащен зашитой от злоупотреблений со стороны инсайдеров.

Теги: CSS, инструмент Overlord сотрудники пользователей данным