Некоторые организации созданы для того, чтобы быть эксклюзивными. В них можно вступить только по приглашению, они отличаются сдержанностью — это те места, где сам список членов и является продуктом.
Одной из таких организаций является «Dialog» — эксклюзивная сеть, основанная миллиардером-инвестором и PayPal Питером Тилем, в число членов которой входят действующий командующий НАТО, два сенатора США и министр финансов США.
На прошлой неделе информация о сотнях этих пользователей находилась в виде открытого текста на сайте распространения приложения и была доступна любому, кто знал, как щелкнуть правой кнопкой мыши. Затем компания Dialog заявила, что стала жертвой хакерской атаки.
Страница регистрации, которая вела прямо к файлам участников
Сайт был создан для распространения мобильного приложения в поддержку предстоящего мероприятия сети, которая организует элитные вечеринки. Любой посетитель мог зарегистрироваться, указав любой адрес электронной почты. Пароль вводить не требовалось.
После отправки электронного письма посетитель попадал на практически пустую промежуточную страницу, которая, по имеющимся данным, загружала внутренние файлы примерно 200 известных личностей прямо в их браузер. Их можно было увидеть с помощью «инструментов, встроенных в каждый крупный браузер», что, по-видимому, относится к встроенным инструментам разработчика браузера.
Эти файлы не были урезанными. При загрузке анкетных форм были получены данные о датах рождения, контактных лицах на случай чрезвычайных ситуаций, номерах мобильных телефонов, политических предпочтениях, которые Dialog присваивает своим участникам, внутренних рейтингах и оценках, а также цифровые ключи, служащие участникам в качестве логинов. Практически для всех из них утечка данных была полной — от личной контактной информации до действующих токенов входа в систему.
В списках также фигурировали действующий сотрудник разведывательной службы Белого дома, генерал в отставке, занимавший руководящую должность в разведывательных органах США, а также руководители подразделений по вопросам национальной безопасности в двух ведущих компаниях, занимающихся искусственным интеллектом. Кроме того, компания Dialog в закрытом режиме выставляет оценки участникам, учитывая их благосостояние и известность при принятии решений о допуске, распределении мест и ценообразовании. Эти оценки были среди данных, содержавшихся в общедоступном HTML-файле.
«Диалог» в обороне
Управляющий директор компании «Dialog» назвал этот доступ «взломом»
«совершено известным преступником, разыскиваемым в Соединенных Штатах».
Издание WIRED, которое первым сообщило об этом, не обнаружило никаких доказательств того, что для этого потребовалось какое-либо взлома. По всей видимости, для этого достаточно было всего лишь перейти по ссылке на веб-странице.
Формы были созданы с помощью Fillout — популярного онлайн-конструктора форм. Данные хранились в Airtable — широко используемой облачной платформе для работы с базами данных. Компания Fillout заявила, что ей ничего не известно о взломе своих собственных систем, и отметила, что ответственность за настройку форм, подключенных источников данных и рабочих процессов лежит на клиентах.
Компания Dialog не сообщила, когда именно эта неправильно настроенная страница впервые появилась в сети, а это означает, что данные пользователей могли быть общедоступны в течение неопределенного периода времени до того, как эта проблема была обнаружена.
Неправильная настройка системы безопасности теперь занимает второе место в рейтинге OWASP Top 10 за 2025 год — отраслевом списке основных рисков безопасности приложений. В 2021 году она занимала пятое место. На долю этой категории приходится более 719 000 задокументированных уязвимостей.
Решение этой проблемы также довольно простое: создавайте системы, оснащенные только теми функциями, которые вам нужны, и настраивайте их с учетом требований безопасности.
Что это означает для всех остальных
То, как организации описывают инциденты, имеет значение не только в контексте отдельного случая утечки данных. Если простой доступ к общедоступной информации будет систематически называться «взломом», исследователи в области безопасности могут стать менее склонными к расследованию и ответственному раскрытию информации о уязвимых системах, в результате чего ошибки в настройках будут оставаться незамеченными в течение более длительного времени.
Для конечных пользователей этот урок известен ещё до появления интернета. Если какая-то организация собирает данные о вашей дате рождения, контактных лицах на случай чрезвычайных ситуаций и внутренний рейтинг вашей ценности для неё, спросите, где хранятся эти данные. Любой ответ, содержащий фразу «на нашем сайте», заслуживает дополнительного вопроса, а всё, что ограничивается фразой «мы очень серьёзно относимся к вашей безопасности», заслуживает более тщательного расследования.
