Андрей Масалович, член совета директоров «Диалог-науки», специалист по конкурентной разведке в интернете:
Внешне взлом выглядел как простое хулиганство на главной странице сайта, просто детсадовское исполнение. Сначала казалось, что кто-то украл пароль к админке, чтобы похулиганить. Но я только что поговоил со знакомыми хакерами, и они говорят, что это не просто дефейс. Это люди, которым я доверяю, и они утверждают, что база паролей QiP украдена, и уже в Сети. Элегантность и внезапность, с которой это было сделано, говорит, что работали профессионалы. По всей видимости, это сделано группировкой «Античат».
К QiP есть несколько серьезных претензий. Во-первых, он при регистрации обязательно отсылает на свой сервер ваш пароль. Во-вторых, хорошие фаерволлы при его работе видят, что он генерирует трафик. Историю переписки он хранит в незашифрованном виде. И, наконец, у QiP слабая криптостойкость, так что и у украденной базы паролей шифрование, скорее всего было слабым, взломать ее хакерам было нетрудно.
Между прочим, похожий непонятный трафик был у тулбара Google, но когда к ним возникли вопросы, они тут же открыли исходный код тулбара. QiP свой код не показывает – при его разработке использованы библиотеки, запрещающие публиковать код под открытыми лицензиями.
Все претензии к QiP часто поднимались на их форуме, но никогда не пояснялись разработчиками, вместо этого модераторы такие темы закрывали. Не подумайте только, что я плохо отношусь к QiP, на самом деле я одинаково плохо отношусь абсолютно ко всем мессенджерам, это настоящие дыры в безопасности.
На продажах баз много денег не заработать, не бывает такого, чтобы кто-то сломал базу, и продавал по $200. Он просто заработает $600, и его повяжут. Но в последнее время очень интересные вещи происходят в интернете. Вот недавно появились в открытом или полуоткрытом доступе базы очень высокого класса, где можно посмотреть адреса и телефоны Лужкова, например, Киркорова или Пугачевой.
Очень похоже на то, что народ готовит новый вид бизнеса вроде dossier on demand («досье по запросу»). Кажется, скоро мы увидим несколько подражаний «Радариксу».
Сколько можно заработать на dossier on demand? Раскрученный «Радарикс» был слабо защищен, и до 60 его баз я в свое время сумел добраться. Дневное число посещений там около 10 000, причем если каждый десятый заплатит, это вполне нормально. Я думаю, нормальная выручка для такого сайта $2 000 в день, за два года можно заработать $1 млн.
Правда, «Радарикс» делал очень толковый парень: и терабайт баз не у всякого есть, и захостил он его в Панаме, и защиту, сподобился, наконец, сделать.