PwC прибегла к угрозам, чтобы скрыть «дыры» в своей системе

Досудебная претензия Консалтинговая корпорация Pricewaterhousecoopers (PwC) безуспешно попыталась запретить публикациюсведений о серьезной уязвимости, которую в ее программной разработке надобровольных началах обнаружила немецко-американская фирма ESNC, специализирующаяся на исследованиибезопасности систем SAP. Юристы PwC грозили ESNC юридической расправой и дважды направляли вкомпанию досудебные претензии с требованием не предавать гласности баг,выявленный в ее продукте Automated Controls Evaluator (ACE) для ERP-системы SAP. В ESNC решили, что подчиняться этим требованиям не станут, ив начале декабря 2016 г. опубликовали данные об уязвимости в свободном доступе.Баг был обнаружен еще в августе 2016 г., о чем PwC была поставлена визвестность в тот же момент. После этого в ESNC просто выдержали принятый вотрасли период в три месяца, который обычно дается создателям уязвимой системына устранение ошибок, прежде чем они станут общим достоянием. Уязвимость была выявлена в версии ACE 8.10.304 и, вполневероятно, присутствует и в более ранних версиях. После выхода нежелательной дляразработчиков ACE информации, представители PwC выступили с утверждением о том,что ошибка уже исправлена, и что вероятность ее эксплуатации очень невелика. Суть проблемы ACE представляет собой диагностический инструмент для SAP,написанный программистами PwC. ACE извлекает из систем SAP информацию онастройках и безопасности, анализирует ее на предмет наличия ошибок,уязвимостей и бэкдоров, и автоматически генерирует отчет для ИТ-специалистов,работающих с системой. http://filearchive.cnews.ru/img/zoom/2016/12/14/pwc_548.jpg"> PwC безуспешно пыталась запугать исследователей безопасности Исследователи ESNC обнаружили в ACE серьезные ошибки,позволяющие хакерам удаленно производить манипуляции с документами внутриERP-системы SAP, запускать произвольный код и устанавливать бэкдоры. По утверждению исследователей ESNC, уязвимость позволяетзлоумышленникам производить всевозможные манипуляции с бухгалтерскимидокументами, финансовыми отчетами, обходить ограничения на доступ к определеннымданным и менять внутренние настройки управления. «Следствием этого могут стать мошеннические действия,хищение или видоизменение конфиденциальных данных, включая персональные,например, исходные данные о клиентах, информация о расчетах с персоналом,несанкционированные финансовые транзакции», — говорится в отчете ESNC. [b]Комментарии сторон и внешнихэкспертов[/b] Генеральный директор российской компании «Мониторбезопасности» [b]Дмитрий Гвоздев[/b] вразговоре с CNews отметил, что подобные ситуации на рынке не редкость, идосудебные претензии — это еще не самая жесткая реакция. Например, весной этогогода программист и исследователь безопасности компьютерных систем [b]Джастин Шэфер[/b] (Justin Shafer) был задержан агентамиФБР после того, как обнаружил общедоступный FTP-сервер с личными данными клиентов крупной стоматологическойклиники Patterson Dental,и уведомил руководство этой организации о своей находке. В ответ компания Pattersonподалапротив него жалобу о нарушении Акта о компьютерном мошенничестве излоупотреблении. Со своей стороны, исполнительный директор ESNC [b]Эртунга Арсал[/b] (Ertunga Arsal) отметил, что впервыесталкивается с подобной реакцией. Исследователи ESNC ранее помогли найти изаделать более сотни серьезных багов в разработках SAP и других производителейПО, и никаких претензий не получали. В PwC продолжают пребывать в уверенности, что ESNC не имели правапроводить аудит безопасности ACE уже потому, что у них не было законной возможности получитьдоступ к этой программе. Она доступна только лицензированным партнерам PwC, а ESNCкним не относится. Описанный в бюллетене ESNC сценарий атаки представители PwCназвали «гипотетическим и маловероятным», отметив, что у них нет сведений офактических попытках эксплуатации уязвимости.[img]http://filearchive.cnews.ru/img/zoom/2016/12/14/pwc_548.jpg"> PwC безуспешно пыталась запугать исследователей безопасности Исследователи ESNC обнаружили в ACE серьезные ошибки,позволяющие хакерам удаленно производить манипуляции с документами внутриERP-системы SAP, запускать произвольный код и устанавливать бэкдоры. По утверждению исследователей ESNC, уязвимость позволяетзлоумышленникам производить всевозможные манипуляции с бухгалтерскимидокументами, финансовыми отчетами, обходить ограничения на доступ к определеннымданным и менять внутренние настройки управления. «Следствием этого могут стать мошеннические действия,хищение или видоизменение конфиденциальных данных, включая персональные,например, исходные данные о клиентах, информация о расчетах с персоналом,несанкционированные финансовые транзакции», — говорится в отчете ESNC. Комментарии сторон и внешнихэкспертов Генеральный директор российской компании «Мониторбезопасности» Дмитрий Гвоздев вразговоре с CNews отметил, что подобные ситуации на рынке не редкость, идосудебные претензии — это еще не самая жесткая реакция. Например, весной этогогода программист и исследователь безопасности компьютерных систем Джастин Шэфер (Justin Shafer) был задержан агентамиФБР после того, как обнаружил общедоступный FTP-сервер с личными данными клиентов крупной стоматологическойклиники Patterson Dental,и уведомил руководство этой организации о своей находке. В ответ компания Pattersonподалапротив него жалобу о нарушении Акта о компьютерном мошенничестве излоупотреблении. Со своей стороны, исполнительный директор ESNC Эртунга Арсал (Ertunga Arsal) отметил, что впервыесталкивается с подобной реакцией. Исследователи ESNC ранее помогли найти изаделать более сотни серьезных багов в разработках SAP и других производителейПО, и никаких претензий не получали. В PwC продолжают пребывать в уверенности, что ESNC не имели правапроводить аудит безопасности ACE уже потому, что у них не было законной возможности получитьдоступ к этой программе. Она доступна только лицензированным партнерам PwC, а ESNCкним не относится. Описанный в бюллетене ESNC сценарий атаки представители PwCназвали «гипотетическим и маловероятным», отметив, что у них нет сведений офактических попытках эксплуатации уязвимости.