Вскоре хакеры вроде Рендалла обнаружили эту брешь в системе безопасности TalkTalk. (Баронесса Хардинг, которая в то время занимала должность генерального директора компании, впоследствии сообщила, что мишенью для атаки стали три такие уязвимые страницы, относившиеся к сайту компании, ранее приобретенной TalkTalk.)[178] Рендалл утверждает, что во всеуслышание заявил о других уязвимостях на сайте TalkTalk, но ошибки так и не были исправлены. «В итоге я решил: „Ну и черт с ними“. Их безопасность – это их проблема», – сказал он вскоре после взлома.
Рендалл заметил, что новости об уязвимости TalkTalk просочились в киберпреступное подполье, и стал непосредственным свидетелем того, как несколько знакомых хакеров взломали сайт TalkTalk с помощью страниц-сирот. Их тактика вызвала еще большую озабоченность уровнем безопасности в компании.
Сайт TalkTalk, как и многие, многие другие, состоит из двух уровней: один из них публичный, где посетители могут найти информацию об оказываемых компанией услугах по предоставлению доступа в интернет, а другой – частный, закрытый, где хранится конфиденциальная информация клиентов и компании. Разумеется, они должны быть в некоторой степени связаны: например, клиент TalkTalk входит в свою учетную запись на публичном уровне, но затем оказывается на частном, где хранятся все связанные с ним данные. Именно по этой связке между публичным и частным уровнями и ударили хакеры.
Существует специальная система, которая берет поисковые запросы с публичного уровня сайта (например, «Самый дешевый интернет, Акация-роуд, Лондон») и просматривает частную базу данных в поисках результатов («20 фунтов в месяц»). Эта система называется SQL (Structured Query Language, «язык структурированных запросов»). Если она настроена неправильно, ее можно обманом заставить выдать информацию, выдавать которую она вообще-то не должна.
Например, если вы введете в строку поиска запрос «Самый дешевый интернет Акация-роуд Лондон», но в конце добавите к нему специальные символы (такие как ";", или "/*", или "@@"), то плохо настроенная система SQL может дать сбой и случайно показать вам закрытый уровень сайта, где хранятся конфиденциальные данные клиентов и компании. Звучит бредово, но порой этот трюк действительно работает – и потому он уже несколько десятилетий остается одним из главных инструментов хакеров. Поскольку он настолько стар, большинство сайтов надежно защищены от его использования. Но сайт TalkTalk – возможно, из-за проблемы со страницами-сиротами – защищен не был.
Именно этой уязвимостью хакеры воспользовались в октябре 2015 года, свидетелем чему стал Рендалл. Далее у него на глазах развернулось классическое ребяческое озорство: один паренек нашел дыру в заборе и взял «на слабо» нескольких приятелей, которые пролезли внутрь, пока остальные стояли и ждали, что из этого выйдет. А вышли, по данным следователей, которые впоследствии занимались этим делом, десятки тысяч сведений о клиентах, включая банковские реквизиты и частичные номера кредитных карт.
В сравнении со многими другими взломами тактика юных хакеров была примитивной, но все равно позволила им воспользоваться удобным случаем: они воровали с сайта данные и хвалились друг перед другом успехами. Но потом кое-кто дал маху. Один из менее опытных хакеров увлекся и попытался просканировать всю сеть TalkTalk, чтобы найти другие способы воровать информацию у компании. В ходе этого он завалил сайт TalkTalk запросами, и вскоре системы компании начали буксовать. Специалисты TalkTalk по кибербезопасности поняли: что-то не так.
Пока компания пыталась справиться с проблемами, ситуация усугубилась: один из хакеров прислал письмо с требованием выкупа на личный электронный адрес баронессы Хардинг и запросил биткоины на сумму около четверти миллиона фунтов. (Как выяснилось позже, попытку вымогательства предпринял шестнадцатилетний на тот момент Дэниел Келли, который жил в городке Лланелли на юге Уэльса. Позже за это и другие хакерские преступления его приговорили к четырем годам заключения в исправительной колонии для несовершеннолетних.)[179] Казалось бы, это отчасти объясняет принятое в компании решение во всеуслышание заявить о взломе – и таким образом нейтрализовать угрозу вымогателя. Специалисты TalkTalk по связям с общественностью, однако, утверждали, что обращение было сделано с целью быстро известить о случившемся клиентов. Впрочем, вне зависимости от того, какими были истинные мотивы компании и насколько благие у нее были намерения, решение выступить в новостях причинило серьезный ущерб многим клиентам TalkTalk.
Пока генеральный директор компании бесконечно давала интервью журналистам, рассказывая об атаке, полиция подобралась к малолетним хакерам, которые за ней стояли. На руку следователям играл непрофессионализм юных воров. Так, некоторые из них успели похвалиться своими похождениями в Twitter, но затем, запаниковав, удалили свои сообщения. Я лично смог связаться с несколькими хакерами через безопасный мессенджер. Если вас может найти журналист, то, скорее всего, найдет и полиция.
Через несколько дней по Великобритании прокатилась волна арестов – и один из них, по-видимому, произошел, пока я беседовал с арестованным в онлайн-чате. Многих вполне предсказуемо шокировал юный возраст преступников. В газете Daily Mail фотография пятнадцатилетнего подозреваемого, арестованного в Северной Ирландии, сопровождалась подписью «Малютка хакер». Им оказался Аарон Стеррит из приморского города Ларн, которого затем приговорили к пятидесяти часам общественных работ и году жизни под наблюдением[180]. На востоке Англии арестовали шестнадцатилетнего Эллиота Гантона – того самого хакера, который на глазах у Рендалла рассказывал об уязвимости в системах TalkTalk. Гантон отправился на перевоспитание на год[181]. Мэттью Хенли из Тамуэрта в Стаффордшире, которому на момент взлома было двадцать, получил годичный тюремный срок за кражу персональных и финансовых данных клиентов. Он передавал данные восемнадцатилетнему Коннору Оллсопу, также живущему в Тамуэрте, а тот отправлял их дальше. Оллсопа отправили в тюрьму на восемь месяцев[182].
Наказания не избежала и сама компания TalkTalk. Через год после хакерской атаки служба по надзору за персональными данными Управления уполномоченного по информации назначила ей штраф в размере четыреста тысяч фунтов – на тот момент почти максимальный (TalkTalk погасила его раньше срока со скидкой в восемьдесят тысяч фунтов)[183].
После атаки на TalkTalk в корпоративных, технологических и пиар-кругах разгорелись дискуссии о том, насколько мудрым было решение баронессы Хардинг так часто появляться в теленовостях. Одни хвалили компанию за быстрое признание, а другие критиковали. Для начала баронесса не смогла объяснить некоторые технические аспекты взлома, чем навлекла на себя гнев подкованных в этом отношении зрителей. Но важнее, пожалуй, то, что на момент выступления Хардинг в компании еще не знали, сколько пользователей пострадало от атаки. Оказалось, что всего было затронуто 156 959 человек, причем банковские реквизиты и частичные номера кредитных карт были украдены лишь у пятой части (будь это известно сразу, новость быстро превратилась бы в пшик – по крайней мере, в моей редакции). Но объявив, что под удар могли попасть абсолютно все клиенты компании, Хардинг напугала четыре миллиона пользователей TalkTalk и тем самым, возможно, проложила дорогу к новым преступлениям. В тысячах километров от Великобритании прекрасно организованная криминальная группировка, никак не связанная с малолетними хакерами, уже сделала немало денег на клиентах TalkTalk. Теперь, когда о взломе компании начали трубить во всех новостях, эта операция получила новую жизнь.
Это история атаки на TalkTalk. В ней рассказывается, как компании отправляют клиентские данные на другой конец света, как в итоге они попадают в руки преступникам и как даже нескольких их фрагментов оказывается достаточно, чтобы мошенническим образом лишать жертв их сбережений.
Казалось бы, эти крохи персональных данных ничего не стоят, и большинство из нас, даже не задумываясь, предоставляет их различным компаниям. Но стоит им попасть в нечистые руки, как найдется способ использовать их против нас. Банда, о которой пойдет речь ниже, питала данными прекрасно смазанную машину для получения прибыли. Но я узнал об этой группировке лишь благодаря случайному знакомству с одной из обманутых ею жертв.
Когда я впервые встретился с Тамсин Коллисон, мой день превратился в настоящий кошмар, который у нас в редакции называют «адским месивом»: это жуткая смена, когда у тебя есть лишь несколько часов, чтобы скомпоновать историю, учесть последние новости и выдать нечто связное в эфир. Мне сказали, что Коллисон стала жертвой взлома TalkTalk, поэтому я за полчаса взял у нее скомканное интервью и побежал обратно в офис, чтобы включить его в свой репортаж, когда появились новости о битве компании с малолетними хакерами. Оказалось, что в спешке я не заметил в истории Коллисон самые важные элементы, которые всплыли лишь гораздо позже. Тогда я знал лишь, что беседую с «жертвой взлома TalkTalk», поэтому впихнул ее в репортаж.
И потом я совершил ошибку.
В тексте закадрового комментария я написал, что Коллисон получила от TalkTalk небольшую компенсацию. Когда через несколько дней я позвонил ей, чтобы спросить, посмотрела ли она репортаж, она была рассержена и обескуражена. Она сказала, что не приняла компенсацию от TalkTalk из принципа, хотя ей и предлагали деньги. Я ошибся всего в одном слове, но для Коллисон это было очень важно.