17 сентября 20 6765

Интервью с основателем M1-Shop: «Взломщики обманули нас, получив 12 BTC»

21 августа одна из крупнейших партнерок, M1-Shop, была взломана, о чем узнали все по сообщению на главной странице сайта. Две недели понадобилось команде партнерки для того, чтобы вернуться к работе. Мы попросили Игоря Иванова, основателя M1-Shop, в интервью Партнеркину рассказать, как произошел взлом, был ли передан хакерам выкуп и почему так долго партнерка возвращалась к работе. 

 Расскажи, что случилось с M1-Shop 21 августа?
Вечером 21 августа на месте нашего сайта появилось сообщение от взломщиков с требованием выкупа в 10 BTC. Мы сразу же собрали всю техническую команду для выяснения ситуации. В течение получаса стало ясно, что проблема не решится за несколько минут, и мы попросили всех партнёров остановить трафик. 

Всю ночь наши техники разбирались в случившемся и уже на следующий день мы поняли, что на восстановление нам понадобится не один день. Наши серверы были взломаны злоумышленниками, и вся хранящаяся там информация была удалена.

 Вам удалось выяснить, кто взломал вас? Есть какая-либо информация о них?
У нас не было времени думать, был ли это какой-то заказ или же все было сделано только ради 10 BTC. Все мысли были направлены на восстановление работы М1, это был главный приоритет. 

 Судя по всему, взломщики русскоговорящие и высока вероятность, что они из СНГ. После общения с ними какое у вас сложилось впечатление? 
Да, все общение велось на русском языке. Откуда сами взломщики, мы предположить не можем. По нашим данным атака была из Праги, но думаю, хакерам бы не составило труда скрыть свое реальное местоположение.

 Ты говоришь, что тогда не было времени думать, заказ ли это. Сейчас что думаешь?
На самом деле у нас и сейчас очень много работы. Конечно, были разные мысли, но так как взломщики могут это прочесть, я бы предпочел на данном этапе оставить этот вопрос без ответа.

 Какие варианты действий вы рассматривали?
М1 — это источник дохода не только для ее команды. Вместе с нами потеряли доход тысячи вебмастеров, десятки рекламодателей и сотни их сотрудников. Может быть это прозвучит двусмысленно, но мы считаем чужие деньги. В работе мы всегда придерживаемся модели Win-Win. Понимая, что мы отвечаем не только за себя, мы рассматривали все варианты скорейшего восстановления работы.

У нас было 3 основных сценария:
А) Заплатить взломщикам и надеяться, что они нам вернут данные.
Б) Обратиться в российские компании, которые занимаются восстановлением утерянных/удаленных данных.
В) Обратиться в аналогичные компании в Германии (там находятся наши серверы).

Ни один из вариантов не давал гарантии результата, поэтому было решено двигаться по все трем. 

Карантин и торговое эмбарго в РФ в ответ на санкции ЕС — все это коснулось и нас тем, что сейчас доставка требуемого оборудования в Россию представляет собой длительный процесс или почти невозможный. Поэтому стали искать компании в Европе. Языковой барьер мешал быстро найти нужных и самое главное надежных коллег. Но наши хостинг партнеры помогли и подсказали нужные компании, в которые мы и обратились. Разглашать названия мы по договору не имеем право.

 Так что вы решили в итоге с выкупом? Кроме сообщения на сайте, выходили ли взломщики на контакт?
Как я и говорил, мы рассматривали все варианты решения проблемы. Основной целью было скорейшее возобновление работы M1 и для этого мы были готовы выплатить те самые 10 BTC. 

Нам было важно понимать, что у них действительно есть нужная нам информация. Мы не нашли следов скачивания наших баз данных с серверов, и нам нужны были доказательства. В первые дни атаки они не выходили на связь. Единственное сообщение, что мы видели, находилось на главной странице с указанием номера кошелька. 

Через неделю после взлома они сами связались с нами и мы получили нужные пруфы. Они повысили сумму выкупа до 12 BTC. Несмотря на то, что восстановительные работы уже велись, эти данные, находящиеся у них, значительно бы ускорили процесс, и мы перевели деньги. 

После оплаты никто из злоумышленников на связь так и не вышел и их условия не были выполнены. Однако теперь мы точно знаем, что со своей стороны сделали все возможное для того, чтобы восстановить работу нашей партнерской сети. 

После случившегося для себя мы твердо решили, что больше переговоры с мошенниками мы не ведем и ни один хакер не получит от М1 ни копейки.

 Какой ущерб был вам нанесен в целом, если все выразить в цифрах? 
Если честно, нам бы не хотелось называть точные цифры. Но думаю, что сумма отправленного выкупа в 12 BTC уже говорит, о том, что потери компании были значительны.

 Вы восстанавливались более полумесяца — почему вам потребовалось так много времени?
Был нанесен огромный ущерб, мы делали, что могли. Восстанавливать такое количество информации — очень трудоемкий процесс и нам было важно полноценно запуститься. Как все закончится, мы подсчитаем количество выпитых флаконов корвалола и выкуренных сигарет.

 Взломщики грозились уничтожить все данные, если вы попытаетесь сделать бэкап.  Вы говорите, что они все равно уничтожили данные. На каком этапе это произошло? 
Данные были уничтожены с самого начала. Все базы данных с наших серверов были удалены уже в первый день взлома.

 Выходит, взломщики получили деньги в полном объеме, но не выполнили свои же условия. Вы собираетесь каким-либо образом привлечь их к ответу? 
Рассказать о своих планах сейчас — это просто сделать ещё один подарок хакерам. Да и процент раскрытия киберпреступлений на сегодняшний день совсем неутешительный. Но все мы точно знаем одно — все сделанное человеком в его жизни, обязательно возвращается.

Рекордные суммы на интернет-рекламу: сколько тратят политики на таргет в Facebook

 Вы упоминали о помощи зарубежных коллег. Кто помогал вам восстановить работу?
Это и наши хостинг партнеры, у которых находятся наши серверы, и компании по анализу и восстановлению данных. Мы сотрудничали с иностранными организациями, о которых я упоминал выше.

 Какую компенсацию получат вебмастера, пострадавшие из-за взлома?
1) За 21.08 (взломали нас в 20:21) — компенсируем траты на трафик + 10% + все, что за сутки долетело в качестве апрувов тоже остается вебмастеру. Например, если вебмастер потратил 100к рублей на трафик и получил 200 лидов (из них 100 апрувнулось по ставке 500 рублей), то он получит: 100к + 100к*10% + 100*500 = 160к рублей.

2) До 27 сентября мы на все офферы всем даем повышку +50 рублей. Если ты новичок — регаешься, льешь, получаешься за апрув ставку +50 рублей. Если ты ТОП и повышки были, то получаешь за лид + повышку, которая была +50 рублей.

Для получения +50 рублей ничего делать не нужно, все происходит автоматически.

 Что нужно предоставить, чтобы получить компенсацию?
Для компенсации нужно предоставить информацию по трафику, например, скрины расходов из рекламных кабинетов. 

 Если нет скринов, подтверждающих расходы, то как быть? Особенно это актуально для тех, кто работает с ФБ, который часто банит аккаунты. Сколько времени уходит, чтобы получить компенсацию?
Такие ситуации мы разбираем индивидуально. Общаемся с вебмастером, просим предоставить скриншоты пополнения Facebook из личного кабинета банка. Исходя из этих данных, потом принимаем решение. 

За 4 дня с момента запуска мы начислили 95 компенсаций на сумму 670 203 рубля. Среднее время получения компенсации до 20:00 — 2-3 часа.

 Какой процент поданных заявок вы удовлетворили? 
За все время мы отказали только трем вебмастерам, так как после запроса дополнительной информации о трафике они больше не ответили. 

 С выводом денег проблем сейчас нет?
Перед запуском мы подготовили финансы и пополнили платежные системы, заранее зная, сколько средств нам может потребоваться. Установка была такая: даже если вебмастера закажут все выплаты в 1 день — мы должны их выплатить. Поэтому с выплатами нет никаких проблем. Благо яхты и крузаки не покупались. 

У нас есть вебмастера, у которых перед взломом на балансах было более 5 миллионов рублей и они либо уже получили свои выплаты, либо получат, когда запросят. У нашего финансового отдела всегда стояла задача: не морозить чужие деньги. Любой честной компании хранить у себя чужие деньги — это, прямо скажем, геморрой. Если ты честный, ты обязан их и сохранить, и выплатить по запросу.

Проблем нет, ни с выплатами, ни с компенсациями. Можно почитать комменты нашего паблика, если бы были какие-то проблемы, то это не получилось бы скрыть. 

 Система теперь работает в прежнем режиме или есть какие-либо ограничения?
Ни один оператор или сотрудник М1 не были сокращены в момент простоя, поэтому мы в полной боевой готовности. Весь функционал, связанный с учетом кликов, конверсий, финансов, выплат, генерации ссылок, сбора статистики — все работает. 

Буквально вчера правили уже мелочи, например, сделали так, чтобы вебмастер мог оставить оценку от 1 до 5 баллов ответу агента поддержки в тикете. 

 Многих интересует главный вопрос — выстоите ли вы против возможной повторной атаки и надежно ли будет дальше работать ваша система?
Если посмотреть на историю, то ломали всех: Twitter, Sony, eBay, NASA и Пентагон. Это не оправдание и не попытка снять с себя вину — мы полностью согласны, что облажались. 

Нам кажется, что надежность компании проверяется в трудные моменты. Мы прошли уже через десяток DDOS-атак, две спам атаки заказами и теперь взлом. Каждый раз мы вставали на ноги и платили достойные компенсации. Если под надежностью вы подразумеваете, не бросим ли мы своих партнеров в трудной ситуации — нет, не бросим.

Что касается безопасности и бесперебойной работы системы — конечно, потеря сотен тысяч долларов преподнесла урок, который мы не забудем. Наши технические специалисты уже предприняли ряд мер, которые не позволят ситуации повториться. Но и на этом мы не остановимся и регулярно будем обновлять нашу систему безопасности.

За свою безопасность мы больше не переживаем, теперь мы в полной боевой готовности и в настоящий момент восстановили 80% трафика на 60 офферах из 400. У нас большие планы на будущее, в ближайшее время мы хотим перейти еще к большей открытости, хотя уже показываем реальный процент треша и только в М1 можно прослушивать записи прозвонов колл-центра. Хотим завести блог компании, где будем делиться своими результатами, раскрывая про наши цели и показатели.

Мы и дальше будем развиваться в СНГ и бурже — мы уже имеем достаточно наработок, так как во время простоя сложа руки мы не сидели. Обязательно будем разрабатывать другие сервисы, которые будут полезны нашим клиентам. 

Хотим еще раз поблагодарить всех наших партнеров за понимание и терпение в этот непростой период. Мы видим все ваши слова поддержки, и очень рады, что вы с нами.

 Хотите через это интервью что-либо передать хакерам, которые взломали вас?
Нет, нам нечего им передавать. Хотим лишь сказать, что не выполнить свои требования было ещё более низко, чем взломать наш сайт. 

На этой ноте интервью подходит к концу. Будьте в курсе актуальных новостей — подписывайтесь на наши Телеграм-каналы: основной каналe-commerce, гемблинг, адалт и дейтинг, беттинг, финансы и классический манимейкинг.  

Как вам статья?
Есть идея для интервью? wow@partnerkin.com

Получить актуальную подборку кейсов

Прямо сейчас бесплатно отправим подборку обучающих кейсов с прибылью от 14 730 до 536 900 ₽.

Черная смородина Ответить
Считаете она чужие деньги, win win у неё , а ничего что у тебя ценик на 20% больше чем у других ПП)
17 сентября, 19:09 0
Взломщик м1шопа Ответить
че за ценник?
17 сентября, 20:11 -1
Станислав
Кто-то насильно заставляет с ними работать?
22 сентября, 17:53 0
Евгений Ответить
Смешно читать это нытье)

Сами об%бываете на своих говнотоварах людей ну и шлете кирпичи либо ваши реклы их шлют) Поэтому в принципе нет ни капли сочувствия.

17 сентября, 20:29 -1
m1shop
У вас действительно есть такие факты?
17 сентября, 23:46
Евгений Ответить
На просторе интернета полно инфы, гуглите, мне лень чего то кому то даказывать, ибо мне это не надо.
18 сентября, 17:38 -1
Станислав
С.ка, где ж такое количество малолетних д.билов выпускают?
22 сентября, 17:54 0
Игорь Ответить
Никого не смутило, что кошельки разные? Может когда "хакеры" вышли на связь это были не хакеры уже?)
17 сентября, 20:49 0
m1shop
Мы бы не перевели деньги, не имея доказательств
17 сентября, 23:37 0
Илья Ответить
Вот кстати о них - вы написали, что получили пруфы о том, что у них есть нужные вам данные, что в свою очередь означало, что вы сможете всё восстановить. А теперь вопрос - что же это были за пруфы такие, если в итоге оказалось, что у них уже давно ничего нету? Что тогда они показывали вам в качестве доказательств, если у них уже ничего не было?
23 сентября, 18:18 0
Сергей
Молодцы ребята. Вот посмотрите 3 части видео про борьбу с хакерами https://youtu.be/Ii8Tm5vB.... Очень доходчиво, в особенности про разговоры с хакерами и как запустить процесс поимки и защиты себя в будущем. Думаю будет полезно
17 сентября, 21:35 0
Некий Ответить
Пффф ну влейте нам ещё херни в уши. Обычный самопиар, в надежде хайпануть хорошенько. Любой маламальски разбирающейся в вебмастер знает как настроить автобэкапы со скачкой в тайминги, а уж банда кодеров подавно.
17 сентября, 21:37 0
Лол) на скринах разные кошельки, если вы перевели на другой кошелек а не который был указан изночально - вы сами виноваты. И вас даже не смутило , что вам дают другой кошель для оплаты ? Ну и вообще все это странно, ооочень странно.. не стали бы вы такие бабки платить) По заголовку уже понял, что такой ход - пиар ничего более)
17 сентября, 22:28 0
m1shop
Почему не стали бы? Мы отправили деньги только после того, как получили нужные нам доказательства наличия данных, уж поверьте.
17 сентября, 23:42 0
Перевели 12btc сами себе
17 сентября, 23:25 -1
Жорик Вартанов Ответить
Блин ну о кирпичах оброзно написано, но реально товары людям приходят просто треш. Я лью трафика относительно много за 3 года на 20 млн. Рублей. Это вам и ад1 в сумме. Не считая геймблы. У меня скринов сообщений от людей много, где приходит дермище, а не то что заказывают( пару раз мы ржали до слёз от фото людей. Самое смешное был прыщесо, из грустного когда муж писал что жена в реанимации от ваших гарденинов, я вас найду и убью). Я знаю на что иду рекламируя это, вы также знаете на что идёте. Вы сейчас как муж той девушки: найду убью. Но вы их не найдёте муж нас с вами. Моя короночка: Таков круговорот кидалава во вселенной. Уж пора привыкнуть.
18 сентября, 03:24 -1
Человек задающий вопросы Ответить
А как же команда кодеров, БА? Кто-то из них был уволен за такое?

Не было бекапов? Не было копий заливок? А Зачем тогда их держать? :)

И еще есть один нюанс! Взломщики бы не меняли кошелек и уж тем более не пользовались им ни до не после перевода (был бы один вывод и все), а здесь живой кошелек. Скорее всего вы ребята сами себе и переводили :)

18 сентября, 12:57 -1
Задающий вопросы Ответить
А почему бекапы не делались, заливки на несколько верверов, если вы "десяток" атак пережили? :) Кто из кодеров, БА понес наказание? :) И взломщики бы не меняли кошелек и уж тем более не юзали его регулярно, он был бы разовым. А так, скорее всего, вы сами себе перекинули чтобы показать скрины :) Это в вашем стиле.
18 сентября, 13:03 0
обалдеть не встать , 2020 остановись ,не ума не фантазии так поступать действительно.
21 сентября, 12:03 0
Наконец-то редирект на https появился... за 12 битков поставили.

Если взлом и был реально, я бы всех сис админов уволил после этого.

Дилетантсво какое-то... бекапы надо на разных серваках хранить, систему вовремя апгрейдить, делать краш тесты.

Позорища!

7 октября, 02:00
ПОХОЖИЕ СТАТЬИ