За встановлення зловреда Superfish, Lenovo заплатить власникам ноутбуків компенсацію $8,3 млн
За встановлення зловреду Superfish, Lenovo заплатить власникам ноутбуків компенсацію $8,3 млн
У лютому 2015 року компанію Lenovo викрили в установці на ноутбуки шкідливої програми VisualDiscovery, розробленої Superfish. При докладному розгляді це виявився типовий зловред, який прослуховує трафік, аналізує пошукові запити та впроваджує рекламу на сторінки сторонніх сайтів. Додаток перехоплює, зокрема, HTTPS-трафік. Для цього воно встановлює кореневий CA-сертифікат Superfish у сховище ключів Windows (з приватним ключем до нього) і проксує весь трафік між хостом і браузером, підмінюючи сертифікат на свій. Простий брутфорс за словником з 2203 слів за допомогою зломщика сертифікатів pemcrack визначив пароль для приватного ключа komodia.
Загалом історія вийшла вкрай неприємна. З'ясувалося, що даний зловред встановлюється на ноутбуки Lenovo з вересня 2014 року.
Подальше розслідування показало, що в цілому зловред був встановлений на 750 000 ноутбуків наступних моделей: E-Series, Edge Series, Flex-Series, G-Series, Miix Series , S-Series, U-Series, Y-Series, Yoga Series та Z-Series.
Зловред не тільки сам вторгався у зашифрований трафік користувача, але завдяки приватному ключу від сертифікату з простим паролем потенційно надавав можливість для проведення MitM-атаки сторонньому зловмиснику, що ставить під загрозу конфіденційність інформації, у тому числі фінансових даних та ін.
Після скандалу Lenovo виклала інструмент для автоматичного видалення Superfish і інструкцію з його видалення вручну. Але це не врятувало її від покарання. Спочатку відплата прийшла у вигляді атаки хакера з дефейсом Lenovo.com, а зараз китайську фірму змусили виплатити компенсацію постраждалим власникам ноутбуків.
Проти компанії Lenovo було подано колективний позов (PDF) до Федерального окружного суду Північного округу Каліфорнії з вимогою про виплату компенсації, і 21 листопада 2018 року суд попередньо задовольнив ці вимоги.
Однак до виплати встановленої судом компенсації справа не дійшла, тому що Lenovo домовилася з представниками позивача про досудову компенсацію у розмірі $7,3 млн. Ця сума додається до попередньої компенсації $1 млн, яку вже виділила Lenovo. Таким чином, загальний обсяг фонду для виплати компенсації постраждалим американським користувачам становить $8,3 млн.
Потрібно зауважити, що Lenovo довго не погоджувалась з вимогами позивача на тій підставі, що їй «невідомо про експлуатацію програми Superfish третіми особами». Вона залишилася за своєю думкою, але висловила задоволення тим, що цей 2,5-річний процес нарешті закінчено. Про це сказано в офіційному (вже віддаленому) прес-релізі.
Можливо, з фонду доведеться відняти вартість юридичних послуг на ведення процесу. Якщо розділити компенсацію на всіх 750 000 постраждалих користувачів, то кожному дісталося б лише близько $10. В принципі, це дуже мало за встановлення MitM-проксі з використанням реклами: наприклад, Amazon дає знижку $20 на свої Kindle, якщо користувач погоджується перегляд реклами. Так що $10 за людину дуже мало і навіть вигідно для Lenovo. Якщо не рахувати шкоди для репутації.
Але на практиці кількість компенсаційних виплат може бути набагато меншою, ніж 750 000, так що і виплати будуть більшими, ніж $10. Компенсація передбачена лише для тих, хто в період з 1 вересня 2014 року по 28 лютого 2015 року купив на території США ноутбуки таких моделей:
- G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G50-45
- U Series: U430P, U430Touch, U530Touch
- Y Series: Y40-70, Y50-70
- Z Series: Z50-75, Z40-70, Z50-70
- Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 15(BTM), Flex 10
- MIIX Series: MIIX2-10, MIIX2-11
- YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
Точний розмір суми компенсації залежить від кількості користувачів, які подадуть заяви до фонду. Крім цих грошей, раніше Lenovo вже заплатила два штрафи по $3,5 млн за угодою з Федеральною торговою комісією та владою 32 штатів.