За встановлення зловреду Superfish, Lenovo заплатить власникам ноутбуків компенсацію $8,3 млн

У лютому 2015 року компанію Lenovo викрили в установці на ноутбуки шкідливої ​​програми VisualDiscovery, розробленої Superfish. При докладному розгляді це виявився типовий зловред, який прослуховує трафік, аналізує пошукові запити та впроваджує рекламу на сторінки сторонніх сайтів. Додаток перехоплює, зокрема, HTTPS-трафік. Для цього воно встановлює кореневий CA-сертифікат Superfish у сховище ключів Windows (з приватним ключем до нього) і проксує весь трафік між хостом і браузером, підмінюючи сертифікат на свій. Простий брутфорс за словником з 2203 слів за допомогою зломщика сертифікатів pemcrack визначив пароль для приватного ключа komodia.

Загалом історія вийшла вкрай неприємна. З'ясувалося, що даний зловред встановлюється на ноутбуки Lenovo з вересня 2014 року.

Подальше розслідування показало, що в цілому зловред був встановлений на 750 000 ноутбуків наступних моделей: E-Series, Edge Series, Flex-Series, G-Series, Miix Series , S-Series, U-Series, Y-Series, Yoga Series та Z-Series.

Зловред не тільки сам вторгався у зашифрований трафік користувача, але завдяки приватному ключу від сертифікату з простим паролем потенційно надавав можливість для проведення MitM-атаки сторонньому зловмиснику, що ставить під загрозу конфіденційність інформації, у тому числі фінансових даних та ін.
Після скандалу Lenovo виклала інструмент для автоматичного видалення Superfish і інструкцію з його видалення вручну. Але це не врятувало її від покарання. Спочатку відплата прийшла у вигляді атаки хакера з дефейсом Lenovo.com, а зараз китайську фірму змусили виплатити компенсацію постраждалим власникам ноутбуків.

Проти компанії Lenovo було подано колективний позов (PDF) до Федерального окружного суду Північного округу Каліфорнії з вимогою про виплату компенсації, і 21 листопада 2018 року суд попередньо задовольнив ці вимоги.
Однак до виплати встановленої судом компенсації справа не дійшла, тому що Lenovo домовилася з представниками позивача про досудову компенсацію у розмірі $7,3 млн. Ця сума додається до попередньої компенсації $1 млн, яку вже виділила Lenovo. Таким чином, загальний обсяг фонду для виплати компенсації постраждалим американським користувачам становить $8,3 млн.

Потрібно зауважити, що Lenovo довго не погоджувалась з вимогами позивача на тій підставі, що їй «невідомо про експлуатацію програми Superfish третіми особами». Вона залишилася за своєю думкою, але висловила задоволення тим, що цей 2,5-річний процес нарешті закінчено. Про це сказано в офіційному (вже віддаленому) прес-релізі.

Можливо, з фонду доведеться відняти вартість юридичних послуг на ведення процесу. Якщо розділити компенсацію на всіх 750 000 постраждалих користувачів, то кожному дісталося б лише близько $10. В принципі, це дуже мало за встановлення MitM-проксі з використанням реклами: наприклад, Amazon дає знижку $20 на свої Kindle, якщо користувач погоджується перегляд реклами. Так що $10 за людину дуже мало і навіть вигідно для Lenovo. Якщо не рахувати шкоди для репутації.

Але на практиці кількість компенсаційних виплат може бути набагато меншою, ніж 750 000, так що і виплати будуть більшими, ніж $10. Компенсація передбачена лише для тих, хто в період з 1 вересня 2014 року по 28 лютого 2015 року купив на території США ноутбуки таких моделей:

• G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G50-45
• U Series: U430P, U430Touch, U530Touch
• Y Series: Y40-70, Y50-70
• Z Series: Z50-75, Z40-70, Z50-70
• Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 15(BTM), Flex 10
• MIIX Series: MIIX2-10, MIIX2-11
• YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW

Точний розмір суми компенсації залежить від кількості користувачів, які подадуть заяви до фонду. Крім цих грошей, раніше Lenovo вже заплатила два штрафи по $3,5 млн за угодою з Федеральною торговою комісією та владою 32 штатів.

Інші новини