21 августа одна из крупнейших партнерок, M1-Shop, была взломана, о чем узнали все по сообщению на главной странице сайта. Две недели понадобилось команде партнерки для того, чтобы вернуться к работе. Мы попросили Игоря Иванова, основателя M1-Shop, в интервью Партнеркину рассказать, как произошел взлом, был ли передан хакерам выкуп и почему так долго партнерка возвращалась к работе.
Расскажи, что случилось с M1-Shop 21 августа?
Вечером 21 августа на месте нашего сайта появилось сообщение от взломщиков с требованием выкупа в 10 BTC. Мы сразу же собрали всю техническую команду для выяснения ситуации. В течение получаса стало ясно, что проблема не решится за несколько минут, и мы попросили всех партнёров остановить трафик.
Всю ночь наши техники разбирались в случившемся и уже на следующий день мы поняли, что на восстановление нам понадобится не один день. Наши серверы были взломаны злоумышленниками, и вся хранящаяся там информация была удалена.
Вам удалось выяснить, кто взломал вас? Есть какая-либо информация о них?
У нас не было времени думать, был ли это какой-то заказ или же все было сделано только ради 10 BTC. Все мысли были направлены на восстановление работы М1, это был главный приоритет.
Судя по всему, взломщики русскоговорящие и высока вероятность, что они из СНГ. После общения с ними какое у вас сложилось впечатление?
Да, все общение велось на русском языке. Откуда сами взломщики, мы предположить не можем. По нашим данным атака была из Праги, но думаю, хакерам бы не составило труда скрыть свое реальное местоположение.
Ты говоришь, что тогда не было времени думать, заказ ли это. Сейчас что думаешь?
На самом деле у нас и сейчас очень много работы. Конечно, были разные мысли, но так как взломщики могут это прочесть, я бы предпочел на данном этапе оставить этот вопрос без ответа.
Какие варианты действий вы рассматривали?
М1 — это источник дохода не только для ее команды. Вместе с нами потеряли доход тысячи вебмастеров, десятки рекламодателей и сотни их сотрудников. Может быть это прозвучит двусмысленно, но мы считаем чужие деньги. В работе мы всегда придерживаемся модели Win-Win. Понимая, что мы отвечаем не только за себя, мы рассматривали все варианты скорейшего восстановления работы.
У нас было 3 основных сценария:
А) Заплатить взломщикам и надеяться, что они нам вернут данные.
Б) Обратиться в российские компании, которые занимаются восстановлением утерянных/удаленных данных.
В) Обратиться в аналогичные компании в Германии (там находятся наши серверы).
Ни один из вариантов не давал гарантии результата, поэтому было решено двигаться по все трем.
Карантин и торговое эмбарго в РФ в ответ на санкции ЕС — все это коснулось и нас тем, что сейчас доставка требуемого оборудования в Россию представляет собой длительный процесс или почти невозможный. Поэтому стали искать компании в Европе. Языковой барьер мешал быстро найти нужных и самое главное надежных коллег. Но наши хостинг партнеры помогли и подсказали нужные компании, в которые мы и обратились. Разглашать названия мы по договору не имеем право.
Так что вы решили в итоге с выкупом? Кроме сообщения на сайте, выходили ли взломщики на контакт?
Как я и говорил, мы рассматривали все варианты решения проблемы. Основной целью было скорейшее возобновление работы M1 и для этого мы были готовы выплатить те самые 10 BTC.
Нам было важно понимать, что у них действительно есть нужная нам информация. Мы не нашли следов скачивания наших баз данных с серверов, и нам нужны были доказательства. В первые дни атаки они не выходили на связь. Единственное сообщение, что мы видели, находилось на главной странице с указанием номера кошелька.
Через неделю после взлома они сами связались с нами и мы получили нужные пруфы. Они повысили сумму выкупа до 12 BTC. Несмотря на то, что восстановительные работы уже велись, эти данные, находящиеся у них, значительно бы ускорили процесс, и мы перевели деньги.
После оплаты никто из злоумышленников на связь так и не вышел и их условия не были выполнены. Однако теперь мы точно знаем, что со своей стороны сделали все возможное для того, чтобы восстановить работу нашей партнерской сети.
После случившегося для себя мы твердо решили, что больше переговоры с мошенниками мы не ведем и ни один хакер не получит от М1 ни копейки.
Какой ущерб был вам нанесен в целом, если все выразить в цифрах?
Если честно, нам бы не хотелось называть точные цифры. Но думаю, что сумма отправленного выкупа в 12 BTC уже говорит, о том, что потери компании были значительны.
Вы восстанавливались более полумесяца — почему вам потребовалось так много времени?
Был нанесен огромный ущерб, мы делали, что могли. Восстанавливать такое количество информации — очень трудоемкий процесс и нам было важно полноценно запуститься. Как все закончится, мы подсчитаем количество выпитых флаконов корвалола и выкуренных сигарет.
Взломщики грозились уничтожить все данные, если вы попытаетесь сделать бэкап. Вы говорите, что они все равно уничтожили данные. На каком этапе это произошло?
Данные были уничтожены с самого начала. Все базы данных с наших серверов были удалены уже в первый день взлома.
Выходит, взломщики получили деньги в полном объеме, но не выполнили свои же условия. Вы собираетесь каким-либо образом привлечь их к ответу?
Рассказать о своих планах сейчас — это просто сделать ещё один подарок хакерам. Да и процент раскрытия киберпреступлений на сегодняшний день совсем неутешительный. Но все мы точно знаем одно — все сделанное человеком в его жизни, обязательно возвращается.
Вы упоминали о помощи зарубежных коллег. Кто помогал вам восстановить работу?
Это и наши хостинг партнеры, у которых находятся наши серверы, и компании по анализу и восстановлению данных. Мы сотрудничали с иностранными организациями, о которых я упоминал выше.
Какую компенсацию получат вебмастера, пострадавшие из-за взлома?
1) За 21.08 (взломали нас в 20:21) — компенсируем траты на трафик + 10% + все, что за сутки долетело в качестве апрувов тоже остается вебмастеру. Например, если вебмастер потратил 100к рублей на трафик и получил 200 лидов (из них 100 апрувнулось по ставке 500 рублей), то он получит: 100к + 100к*10% + 100*500 = 160к рублей.
2) До 27 сентября мы на все офферы всем даем повышку +50 рублей. Если ты новичок — регаешься, льешь, получаешься за апрув ставку +50 рублей. Если ты ТОП и повышки были, то получаешь за лид + повышку, которая была +50 рублей.
Для получения +50 рублей ничего делать не нужно, все происходит автоматически.
Что нужно предоставить, чтобы получить компенсацию?
Для компенсации нужно предоставить информацию по трафику, например, скрины расходов из рекламных кабинетов.
Если нет скринов, подтверждающих расходы, то как быть? Особенно это актуально для тех, кто работает с ФБ, который часто банит аккаунты. Сколько времени уходит, чтобы получить компенсацию?
Такие ситуации мы разбираем индивидуально. Общаемся с вебмастером, просим предоставить скриншоты пополнения Facebook из личного кабинета банка. Исходя из этих данных, потом принимаем решение.
За 4 дня с момента запуска мы начислили 95 компенсаций на сумму 670 203 рубля. Среднее время получения компенсации до 20:00 — 2-3 часа.
Какой процент поданных заявок вы удовлетворили?
За все время мы отказали только трем вебмастерам, так как после запроса дополнительной информации о трафике они больше не ответили.
С выводом денег проблем сейчас нет?
Перед запуском мы подготовили финансы и пополнили платежные системы, заранее зная, сколько средств нам может потребоваться. Установка была такая: даже если вебмастера закажут все выплаты в 1 день — мы должны их выплатить. Поэтому с выплатами нет никаких проблем. Благо яхты и крузаки не покупались.
У нас есть вебмастера, у которых перед взломом на балансах было более 5 миллионов рублей и они либо уже получили свои выплаты, либо получат, когда запросят. У нашего финансового отдела всегда стояла задача: не морозить чужие деньги. Любой честной компании хранить у себя чужие деньги — это, прямо скажем, геморрой. Если ты честный, ты обязан их и сохранить, и выплатить по запросу.
Проблем нет, ни с выплатами, ни с компенсациями. Можно почитать комменты нашего паблика, если бы были какие-то проблемы, то это не получилось бы скрыть.
Система теперь работает в прежнем режиме или есть какие-либо ограничения?
Ни один оператор или сотрудник М1 не были сокращены в момент простоя, поэтому мы в полной боевой готовности. Весь функционал, связанный с учетом кликов, конверсий, финансов, выплат, генерации ссылок, сбора статистики — все работает.
Буквально вчера правили уже мелочи, например, сделали так, чтобы вебмастер мог оставить оценку от 1 до 5 баллов ответу агента поддержки в тикете.
Многих интересует главный вопрос — выстоите ли вы против возможной повторной атаки и надежно ли будет дальше работать ваша система?
Если посмотреть на историю, то ломали всех: Twitter, Sony, eBay, NASA и Пентагон. Это не оправдание и не попытка снять с себя вину — мы полностью согласны, что облажались.
Нам кажется, что надежность компании проверяется в трудные моменты. Мы прошли уже через десяток DDOS-атак, две спам атаки заказами и теперь взлом. Каждый раз мы вставали на ноги и платили достойные компенсации. Если под надежностью вы подразумеваете, не бросим ли мы своих партнеров в трудной ситуации — нет, не бросим.
Что касается безопасности и бесперебойной работы системы — конечно, потеря сотен тысяч долларов преподнесла урок, который мы не забудем. Наши технические специалисты уже предприняли ряд мер, которые не позволят ситуации повториться. Но и на этом мы не остановимся и регулярно будем обновлять нашу систему безопасности.
За свою безопасность мы больше не переживаем, теперь мы в полной боевой готовности и в настоящий момент восстановили 80% трафика на 60 офферах из 400. У нас большие планы на будущее, в ближайшее время мы хотим перейти еще к большей открытости, хотя уже показываем реальный процент треша и только в М1 можно прослушивать записи прозвонов колл-центра. Хотим завести блог компании, где будем делиться своими результатами, раскрывая про наши цели и показатели.
Мы и дальше будем развиваться в СНГ и бурже — мы уже имеем достаточно наработок, так как во время простоя сложа руки мы не сидели. Обязательно будем разрабатывать другие сервисы, которые будут полезны нашим клиентам.
Хотим еще раз поблагодарить всех наших партнеров за понимание и терпение в этот непростой период. Мы видим все ваши слова поддержки, и очень рады, что вы с нами.
Хотите через это интервью что-либо передать хакерам, которые взломали вас?
Нет, нам нечего им передавать. Хотим лишь сказать, что не выполнить свои требования было ещё более низко, чем взломать наш сайт.
На этой ноте интервью подходит к концу. Будьте в курсе актуальных новостей — подписывайтесь на наши Телеграм-каналы: основной канал, e-commerce, гемблинг, адалт и дейтинг, беттинг, финансы и классический манимейкинг.
Менеджер и ищешь работу своей мечты? Заходи в разделы «Работа» и «Фриланс-биржа». Здесь собраны самые свежие вакансии из IT-сферы.
Сами об%бываете на своих говнотоварах людей ну и шлете кирпичи либо ваши реклы их шлют) Поэтому в принципе нет ни капли сочувствия.
Не было бекапов? Не было копий заливок? А Зачем тогда их держать? :)
И еще есть один нюанс! Взломщики бы не меняли кошелек и уж тем более не пользовались им ни до не после перевода (был бы один вывод и все), а здесь живой кошелек. Скорее всего вы ребята сами себе и переводили :)
Если взлом и был реально, я бы всех сис админов уволил после этого.
Дилетантсво какое-то... бекапы надо на разных серваках хранить, систему вовремя апгрейдить, делать краш тесты.
Позорища!