Скажите, как бы вы отнеслись к тому, чтобы продавцы давали возможность собрать атрибуты ваших карточек, включая номер, фамилию и CVC, какому-то постороннему лицу еще в момент оплаты, а также, без пароля, пускали посмотреть, что вы делаете в личном кабинете какого-то сервиса, кому и сколько платите, например. Сколько у вас телефонов и как вы ими пользуетесь. Т.е. вы входите под паролем, подтверждаете право владения по SMS, зашли, а там народ толпится, кто зашел просто посмотреть. Бред? Тем не менее, так делают многие сервисы. Кем бы вы себя ощущали, если бы в комнате для вскрытия банковских ячеек обнаружили камеру наблюдения? Но, не будем снова о банках, давайте обо всем последовательно.

В один прекрасный день я столкнулся с проблемой. Некто решил вытащить всю мою базу штрихкодов, для чего во много потоков, с разных адресов, с хорошей базой UserAgent'ов стал ее парсить. Нагрузка на хостинг возросла в десятки раз, до неприличной. Игнорировать ее не получилось. Ждать, пока боты насытятся пришлось бы очень долго, поскольку там несколько миллионов страниц, а боты еще и простым увеличением числа пытались что-то найти, т.е. половина запросов шла мимо. Разовый бан не помогает, при снятии блокировки, даже через месяц, DDoS возобновлялся.

Простейший анализ whois показал, что все запросы идут с одного хостинга, возможно, распределенного, но с одним владельцем, причем, из России. Попытки связаться по abuse@ ничем не увенчались, либо в ответ была тишина, либо вообще приходило сообщение об отсутствии ящика. Тем временем количество диапазонов адресов, которые я вручную выбирал по активности из журналов, перевалило за полсотни…

В связи с тем, что мне не удалось связаться со Сбербанком, точнее — с кем-то вменяемым с той стороны, хочу поделиться, чтобы если не исправить утечку данных, то хотя бы предупредить о ней.


Совсем недавно случайно обнаружил, что Сбербанк Онлайн густо утыкан счетчиками. Это Google, Doubleclick, Rutarget, ЯМетрика. Еще раз подчеркну, в личном кабинете, где люди переводят деньги, вводят очень персональную информацию и т.п., в этом личном кабинете натыканы скрипты, которые Сбербанку совсем не принадлежат, а принадлежат совсем не нашим компаниям, например. Давайте посмотрим, что из этого выходит (слайды и видео ниже).