Roistoista sankareiksi - hakkereille sataa palkkioita ja työtarjouksia

Hakkerit ovat nykyään kuumaa valuuttaa IT-markkinoilla. Vallitseva ajatus on, että paras henkilö suojaamaan järjestelmiä on se, joka onnistuu myös murtautumaan niihin. 

Eettisiä hakkereita kutsutaan “valkohatuiksi”. Termillä tarkoitetaan henkilöitä, jotka eivät yritä hyötyä tietomurroista, vaan tekevät niitä paljastakseen haavoittuvuuksia, jotta järjestelmien omistajat voivat korjata niitä.

Työpaikkojen lisäksi useat yritykset tarjoavat palkkioita hakkereille, jotka ovat valmiita auttamaan tietoturvan parantamisessa, sen sijaan että hyötyisivät henkilökohtaisesti löytämistään haavoittuvuuksista. Palkkiot vaihtelevat muutamista tuhansista aina satoihin tuhansiin dollareihin.

Pelkästään tässä kuussa kaksi tällaista tapausta on noussut otsikoihin.

Virhe koodissa mahdollisti loputtomat Steam-rahat

Elokuun yhdeksäntenä päivänä suositulla tietoturvauhkia käsittelevällä HackerOne sivustolla nostettiin esiin haavoittuvuus suositussa Steam-pelipalvelussa. Sivuston tarkoitus on paljastaa haavoittuvuuksia suosituissa palveluissa. Tarkoitus ei ole hyödyntää löydettyjä ongelmia, vaan tarjota korjausehdotuksia. 

Nimimerkkiä drbrix käyttävä hakkeri oli löytänyt Steamin kauppapaikasta haavoittuvuuden, jonka avulla käyttäjä pystyi lisäämään loputtomasti varoja omalle pelitililleen. 

Ongelma raportoitiin myös Valvelle, joka tarttui välittömästi korjaustoimiin. Taustalla oli vika maksuliikenteen käsittelyssä, missä hyökkääjä pystyi kaappaamaan liikenteen palveluun ja muuttamaan erilaisia muuttujia, kuten summaa mikä lisätään pelitilille. Drbrix ja Valven työntekijät alkoivat selvittää ratkaisua yhdessä ja korjasivat vian alle vuorokaudessa.

Vaivanpalkkaa ongelman löytämisestä drbrixille maksettiin 7500 dollaria. Palkkion lisäksi Valve sitoutui julkaisemaan täydellisen raportin ongelmasta ja sen ratkaisusta. Tämä on harvinaista, sillä yhtiöt haluavat yleensä salata haavoittuvuuden myös korjaamisen jälkeen. Se on kuitenkin ensisijaisen tärkeää läpinäkyvyyteen perustuville sivuistoille.

Hakkeri palautti 600 miljoonan ryöstösaaliin

Vielä loputtomia pelejä suuremmasta saaliista luopui Mr. White Hat nimellä esiintyvä hakkeri, joka onnistui suorittamaan kaikkien aikojen suurimman kryptovaluutan ryöstön 10. elokuuta. Rikos kohdistui Poly Network -sivustoon, jota käytetään kryptovaluuttojen keskinäiseen vaihtoon.

Hyökkääjä pääsi käsiksi vaihtoliikenteeseen ja onnistui siirtämään varat omille lompakoilleen ennen kuin sivusto huomasi ongelman ja pysäytti liikenteen. Vahinko oli kuitenkin ehtinyt tapahtua ja yli 600 miljoonan dollarin arvosta kryptovaluuttaa oli vaihtanut omistajaa.

Pian murron jälkeen yhtiö anoi Twitter-tilillään hakkeria palauttamaan varastetut rahat. Yhtiön mukaan kyseessä oli historian suurin kryptovaluuttasivustoon kohdistuva tietomurto, mikä varmasti keräisi paljon huomiota lainvalvojien suunnalta. 

Yllättävää kyllä, hakkeri suostui pyyntöön ja aloitti rahojen palauttamisen. Sivusto kertoi olevansa jatkuvassa yhteydessä hakkeriin ja työskentelevänsä tämän kanssa korjatakseen ongelman.

Poly Network ei aio nostaa kannetta asiasta vaan sen sijaan tarjosi Mr. White Hatille työpaikkaa turvallisuusasiantuntijana. Työpaikan ohella hakkerille tarjottiin puolen miljoonan dollarin palkkiota haavoittuvuuden löytämisestä ja varastettujen varojen palauttamisesta. 

Lopputuloksesta ja hakkerin nimestä huolimatta mikään ei osoita, että tällä oli alunperin hyvä tarkoitus tietomurrossa. On täysin mahdollista, että hän yksinkertaisesti pelkäsi jäävänsä kiinni.

Asiantuntijoiden mukaan valuuttojen siirtoja analysoimalla olisi erittäin todennäköistä, että hakkeri voitaisiin tunnistaa viimeistään siinä vaiheessa, kun tämä yrittäisi muuttaa kryptovaluuttaa dollareiksi.