Тиит Паананен, Skype: «Мы вернемся назад в прошлое»

В Skype прокомментировали обнаруженную сегодня уязвимость внутри системы, которая позволяла получить доступ к аккаунтам других пользователей: «Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос. Приносим свои извинения за неудобство, безопасность наших пользователей является нашей первоочередной задачей».

Интересно, что глобальную уязвимость обнаружили именно в России: редкий случай, когда западные издания написали о ней позже наших. 

Slon задал несколько вопросов о сложившейся ситуации главе эстонской команды Skype (в Таллинне ведутся основные перспективные разработки сервиса) и одному из технических директоров компании Тииту Паананену.
– Как так получилось, что об уязвимости в Skype (весьма простой по своей схеме) узнали только после того, как эту информацию обнародовали российские блогеры-программисты?

– Что-либо конкретное мы сможем заявить по результатам внутреннего расследования. Пока могу сказать, что как менеджер, который отвечает в том числе за безопасность сервиса, я гарантирую решение проблемы в самое ближайшее время. Также многим, думаю, будет важно понимать, что уязвимость, с которой столкнулись пользователи, – временное явление. Это не та проблема, которая существует годами, а мы о ней не знаем. Ее последствия неприятны для пострадавших пользователей, но массового ущерба мы не наблюдаем.

– У вас есть данные, сколько пользователей пострадали в результате, многие ли потеряли свои аккаунты?

– По итогам дня должны быть обнародованы данные службы поддержки. По моим оценкам, реально пострадавших несколько тысяч. Особенность этой истории в том, что основной поток взломов начался после того, как была обнародована информация об уязвимости. Кто-то экспериментировал, кто-то просто стал проверять саму возможность, друзья стали взламывать друг друга, кто-то воспользовался уязвимостью в противоправных целях. Но к тому моменту, когда пошла массовая волна, мы уже временно отключили функцию восстановления пароля.

– Уязвимость вы устраните. Что будет с теми пользователями, у которых аккаунт в результате уже украли?

– Главное – заявить о себе в службу поддержки. Когда мы окончательно поймем источник проблемы, мы опишем процедуру восстановления аккаунтов. Скорее всего это произойдет в течение ближайших нескольких суток. Не исключаю, что мы просто, что называется, вернемся назад в прошлое. Взломанные аккаунты будут возвращены в прежнее состояние, а пострадавшие получат на свои электронные адреса ключи для смены пароля.

– Могла ли обнаруженная уязвимость стать результатом внешнего взлома? Или это все-таки внутренняя техническая ошибка?

– Я бы хотел уточнить: существующая проблема – это не одна уязвимость, а несколько уязвимостей на разных этапах. Главная проблема заключалась в маркере пароля, который можно было использовать без подтверждения из почты пользователя. С большой долей вероятности это результат внутренней ошибки, которая произошла после очередной переконфигурации системы. Но внешнего воздействия я исключать не могу до окончания внутреннего расследования. 

Я понимаю, что для вас и пострадавших случившееся – громкая сенсация, но хочу отметить, что, благодаря внутреннему аудиту, мы сами еженедельно находим по несколько уязвимостей в системе. В случае с глобальным сервисом это неизбежно. 

– Относительно Skype все беспокоятся не только из-за технических проблем. Летом прошла информация о потенциальной возможности прослушки в Skype в связи с модификацией системы обмена трафиком между «суперузлами» сервиса. Недавно случился скандал в Нидерландах, когда выяснилось, что компания без решения суда предоставляла информацию о пользователях частным детективам. Сами вы в одном из интервью сказали, что Skype работает «согласно законам различных стран»: «Пока нет судебного ордера на запись разговоров, до тех пор у пользователей Skype все хорошо». То есть в целом система к сотрудничеству со спецслужбами формально и технически готова?

– Я могу лишь повторить то, что сказал. Никакое решение в данном случае не будет применяться без решения суда и анализа наших юристов. Сервис работает в разных странах, есть объективные и субъективные обстоятельства, которые мы не можем изменить. Но две позиции остаются неизменными. Во-первых, необходимо решение суда. Во-вторых, мы считаем своей главной задачей защиту системы от несанкционированных взломов. Прослушивание, доступ к персональной информации – это то, что мы защищаем всеми возможными средствами, и эти средства, на мой взгляд, сегодня лучшие на рынке. Они – непреодолимое препятствие даже для самой современной спецслужбы. 

– Как показала последняя история, это лишь вопрос небольшой случайной уязвимости, разве нет?

– Это разные вещи. Уязвимости, о которых мы говорим сегодня, все-таки были связаны с кражей аккаунта. Личные данные пользователей не пострадали.