Воры, приходите в гости: аукционный дом Christie’s раскрывает реальное местоположение шедевров искусства

Интересное событие совсем недавно произошло в киберпространстве. Профессор одного из немецких университетов готовил унаследованные им картины на продажу через знаменитый аукционный дом Christie’s. С помощью своего iPhone он сфотографировал работы у себя дома, чтобы позже загрузить эти фото на сайт платформы.

Однако, загружая изображения на площадку, профессор и не подозревал, что туда также подгрузятся и полные данные геолокации со снимков, раскрывая всем желающим физическое местоположение работ.

Причём координаты с фотографий были настолько точны, что выдавали не только домашний адрес профессора, но и позволяли определить с точностью до метра, где конкретно в здании хранились ценные произведения искусства.

Попади эта информация в руки каким-нибудь домушникам, физическая безопасность профессора и сохранность его имущества могли быть поставлены под сомнение. Чего стоит подготовленной банде из нескольких человек ворваться в обычный жилой дом и обчистить его владельца, прихватив как вышеуказанные картины, так и ещё что-нибудь ценное?

Уязвимость в сервисе Christie’s обнаружили исследователи Мартин Чирсич и Андре Цильх из немецкой компании по кибербезопасности Zentrust Partners . Как сообщается, сотни других потенциальных клиентов Christie’s также подверглись влиянию этой бреши в безопасности платформы.

В конце июля Агентство кибербезопасности США ( CISA ) уже предупреждало общественность о подобном типе уязвимостей. По данным агентства, такие недостатки безопасности уже успели подвергнуть миллионы пользователей компрометации данных.

Представители платформы Christie’s, утверждающей о своей приверженности к бережному обращению с персональными данными, отказались ответить на вопросы или подтвердить выводы исследователей. Однако компания всё же предприняла некоторые шаги к решению проблемы, хоть и только после привлечения крупных СМИ.

Неясно, информировал ли вообще аукционный дом Christie’s своих клиентов о нарушении безопасности. Как сообщил вышеупомянутый немецкий профессор, с ним представители компании точно не связывались, а о факте публикации местоположения своих работ профессор узнал уже постфактум от журналистов.

Чирсич и Цильх также сообщили, что предупреждали Christie’s об этой серьёзной уязвимости ещё до того, как о ней стало известно публично.

Многие технологические компании платят исследователям за раскрытие подобных недостатков безопасности, но Christie’s не из их числа. Исследователи предложили компании свою бесплатную помощь в устранении уязвимости, однако и это предложение было проигнорировано.

По словам Чирсича, на принятие временных мер с помощью специалистов потребовались бы считанные часы, а на полное устранение уязвимости — два дня. Однако в Christie’s от предложенной помощи отказались, провозившись с устранением проблемы гораздо дольше. Этим шагом компания подставила своих клиентов ещё больше.

Исследователи считают, что свойственное некоторым компаниям игнорирование экспертных предупреждений, вызывает множество вопросов о приоритетах таких компаний в сфере кибербезопасности.

Аукционному дому Christie’s явно следует пересмотреть своё отношение к подобным инцидентам, чтобы избежать утечек данных и угрозы физической безопасности своих клиентов в будущем.