Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.


В истории с якобы утекшей базой клиентов ИнфоВотч и последующим обвинением ИнфоВотчем своих конкурентов СёрчИнформ в информационном вбросе уже накопилось много всякого - и фактов и мнений и, конечно же, больше всего - эмоций. Вместе с тем история фактологически достаточно проста, а всё остальное вокруг - лишь шум и PR. Расскажу о случившемся со своей точки зрения, тем более, что на мой пост в Facebook и на меня самого кто уже только не сослался =)

Как всё началось?

Для меня всё началось утром 13 апреля, когда в почтовом ящике обнаружил письмо от некоего “timoxa timoxa”, присланное ночью.

[caption id=”attachment_10548” align=”aligncenter” width=”799”]Письмо от timoxa timoxa Письмо от timoxa timoxa[/caption]

Когда я проверил ссылку на VirusTotal, то увидел, что кто-то уже её проверил до меня, при этом самая первая проверка была сделана в 6:14 по московскому времени.

[caption id=”attachment_10550” align=”aligncenter” width=”557”]Ссылка уже проверялась Ссылка уже проверялась[/caption]

Подумав, решил, что вряд ли проверку делал сам отправитель (чтобы убедиться, что отправляемое им нечто не будет детектировано антивирусами), ведь проверка была совершена уже сильно позже времени отправки. Поэтому оставалось предположить, что не только я получил такую ссылку. В дальнейшем это, в общем-то, и подтвердилось.

Понятно, что VirusTotal не даёт 100% гарантии отсутствия вредоноса, поэтому в таких случаях лучше проявить больше бдительности и, как вариант, открыть ссылку на виртуальной машине. Мне к тому же нравится это делать в операционной системе, отличной от тех, которыми я реально пользуюсь.

Что было по ссылке?

По ссылке можно было скачать 6 файлов Excel. Пять из них были “коммерческими предложениями”, а на деле - оформленными в стиле ИнфоВотч спецификациями с позициями и ценами. Никаких названий заказчиков или, на худой конец, размера партнёрских скидок. Вся секретность этих файлов крылась разве что во фразе “Данные коммерческого предложения носят конфиденциальный характер и не подразумевают разглашение третьим лицам.” Поискав на том же сайте Госзакупок, можно запросто насоставлять таких спецификаций. К тому же три из пяти спецификаций вообще были идентичными.

Хоть какой-то интерес представлял разве что файл, оформленный как выгрузка из CRM, и названный “Отчет “Почтовый список контактов””. В нём было около 5000 контактов, сгруппированных по видам деятельности организаций. У многих были помимо ФИО и должности указаны телефоны и адреса электронной почты. Никаких пометок, комментариев, отметок (типа - ЛПР) или намёков на коммерческие показатели в файле не было.

В общем, на базу клиентов файл совсем не был похож, максимум тянул на среднего качества базу контактов для приглашения на ИБ/ИТ-мероприятие. Ну, а единственное, что хоть как-то указывало на ИнфоВотч - это то, что в файле были контакты примерно 200 сотрудников компании ИнфоВотч, многие из которых сегодня уже даже и не сотрудники, что примерно говорит об актуальности файла в целом. Контактов Натальи Касперской, к слову, там не было, да и вообще - у некоторых сотрудников даже адрес почты не был проставлен.

Что предпринял я?

Первым делом сообщил коллегам в ИнфоВотч о том, что идёт такая рассылка (о том, как я понял, что я не одинок - писал выше). Дело тут не в том, что этой компании или её сотрудникам я как-то особенно симпатизирую. В файлах не было какой-то действительно конфиденциальной коммерческой информации и подтверждений утечки именно базы клиентов ИнфоВотч. Письмо было не более, чем информационной атакой, а мне такие методы не очень нравятся и поощрять их уж точно не могу.

Конечно, мои некоторые посты тоже можно называть “информационными вбросами” (думаю, некоторые именно так их и называют), но есть всё же разница между изложением собственного мнения в личном блоге и рассылкой сомнительных материалов с анонимного почтового адреса с заходом в web-интерфейс почтового ящика через сеть TOR (в заголовке письма присутствовал IP-адрес отправителя 51.15.40.233).

В течение дня стало появляться всё больше публикаций в социальных сетях и разного уровня СМИ (в том числе с теми самым ссылками на меня и мой пост в Facebook), а также различных оценок и комментариев. Как ни странно, вплоть до вечера 13 апреля ссылка оставалась рабочей и файл мог скачать любой желающий. Так как данные были хоть и устаревшими, но во многом реальными, я обратился к сервису dropmifilse.com с просьбой удалить файлы, что они и сделали.

[caption id=”attachment_10553” align=”aligncenter” width=”722”]Файлы удалены Файлы удалены[/caption]

Дальше за картиной происходящего только наблюдал.

Кто же это сделал?

Следующая волна событий началась 25 апреля очередной рассылкой, правда мне уже ничего направлять не стали, приписали к сочувствующим, видимо =) Так что о содержимом могу судить только по сторонним публикациям и комментариям.

[caption id=”attachment_10554” align=”aligncenter” width=”1106”]Вторая рассылка Вторая рассылка[/caption]

Источник: Сергей Борисов

На следующий же день на ресурсе Roem.ru появилась статья с говорящим названием “В InfoWatch проанализировали «слив базы клиентов» и считают, что их заказал Search Inform”. На официальном сайте ИнфоВотч подобных громких заявлений не появилось, есть только разъяснение с указанием на намерение проведения “всех необходимых процедурных действий в рамках действующего законодательства”. Юристы SearchImform, судя по комментариям на Roem.ru в свою очередь готовят иски против этого сайта и компании ИнфоВотч.

Вот тут поддержу обе стороны: если есть доказательства/основания - надо доводить дело до суда. Не уверен, правда, что сторонам реально нужно это, а не просто шум и PR =)

Моё личное мнение, что реальных доказательств причастности СёрчИнформ представлено не было - наличие мотива и возможности само по себе важно, но нужны какие-то реальные улики или чья-то явка с повинной.

Вне зависимости от того, кто стоит за первоначальным вбросом, статья на Roem красиво размывает и поглощает скандальную новость “у ИнфоВотч украли базу клиентов” своей не менее скандальной “СёрчИнформ провел информационную атаку на ИнфоВотч”. Настолько красиво, что я не удивлюсь, если это вообще многоходовка от самой компании ИнфоВотч =)

Ну, и совсем уж конспирологическая версия: обе компании и ИнфоВотч и СёрчИнформ получили от всей этой шумихи свою порцию славы, так что в каком-то смысле произошедшее выгодно обеим сторонам.

А что думаете вы об организаторе?

[poll id=”4”]

--- === @zlonov === ---