В современном цифровом мире вопросы безопасности персональных данных становятся все более актуальными. Пользователи доверяют компаниям свои имена, адреса, контакты и другие важные сведения, ожидая, что они будут надежно защищены. Однако в мае 2025 года произошел серьезный инцидент безопасности у одного из американских продавцов неисправных и бывших в употреблении жестких дисков GoHardDrive, который обнаружил исследователь безопасности Майкл Линч. В ходе возврата продукции клиент обнаружил, что компания массово раскрывала личную информацию тысяч своих покупателей, что вызвало закономерное возмущение и вопросы к культуре безопасности данных в подобных компаниях. GoHardDrive — это компания, специализирующаяся на продаже бывших в употреблении жестких дисков по привлекательным ценам.
Несмотря на хороший маркетинг и обширную клиентскую базу, процесс возврата товара оказался очень проблематичным, в том числе с точки зрения защиты данных пользователей. Майкл Линч, как обычный покупатель и блогер, решил вернуть один из приобретенных дисков, и в ходе этого процесса наткнулся на уязвимость в системе проверки статуса возврата, которая вскрыла огромный массив персональной информации. Суть утечки заключалась в использовании уязвимой формы на сайте компании, которая предназначалась для проверки статуса возврата по уникальному RMA (Return Merchandise Authorization) номеру. При вводе номера клиент получал не только статус возврата, но и полностью раскрывал свои личные данные: полное имя, адрес доставки, электронную почту, дату и номер заказа, а также подробности о возвращаемой продукции и причинах возврата. Вдобавок к этому, благодаря просто неограниченному количеству попыток вводов и отсутствию системы проверки запросов, была возможность с помощью простой подстановки последовательных RMA номеров увидеть данные многих других клиентов.
Важно отметить, что такая ситуация представляет огромную угрозу конфиденциальности. Злоумышленники с минимальными техническими навыками могут с помощью простого скрипта перебрать все диапазоны RMA номеров от 00001 до 99999, что потенциально открывает доступ к информации десятков тысяч клиентов. Этот масштаб утечки — по оценкам Майкла — составляет от десяти до ста тысяч человек, что накладывает огромную нагрузку на имидж и репутацию GoHardDrive. После обнаружения уязвимости Майкл связался с командой компании 21 мая 2025 года и уже через два часа получил подтверждение проблемы от GoHardDrive с обещанием устранить баг в течение нескольких рабочих дней. Однако спустя неделю реальных изменений в интерфейсе сайта не наблюдалось, и спустя еще один запрос на обновление статуса была введена не слишком эффективная мера — необходимость вводить к RMA номеру ещё и почтовый индекс и номер дома, якобы для уменьшения риска перебора данных.
Однако, как объяснил Майкл, такая мера не устранила проблему. Сами по себе ZIP-коды в США ограничены около 42 тысячами уникальных значений, а номера домов преимущественно колеблются в диапазоне от 1 до 100, что значительно снижает количество возможных уникальных комбинаций при подборе данных. При определенной автоматизации атака могла происходить со скоростью порядка тысячи запросов в секунду, что позволяет получить доступ к личной информации сотен или тысяч клиентов всего за несколько минут. В итоге компания согласилась на радикальное решение — полностью удалить форму проверки статуса возврата с публичного доступа и перевести обслуживание клиентов на связь по электронной почте. Это решение хоть и защищает данные пользователей, но создает дополнительные неудобства для клиентов, вынужденных ждать ответа по почте вместо мгновенного онлайн доступа к информации.
Наряду с проблемами безопасности стоит отметить крайне неудобный и громоздкий процесс возврата продукции в GoHardDrive. Клиенты вынуждены заново вводить все свои данные при оформлении возврата, несмотря на то, что за две недели после покупки вся эта информация уже есть в базе компании. Противоречия с позитивными отзывами на Reddit стали очевидными, ведь вместо того, чтобы получить быструю замену с предоплаченной пересылкой, потребителю пришлось платить за обратную почту и ждать несколько недель подтверждения и отправки замены. При этом не было никаких регулярных оповещений о ходе возврата по электронной почте — вся информация была доступна исключительно на небезопасном сайте. Этот инцидент служит тревожным сигналом для других компаний, которые работают с возвратами и хранят данные клиентов.
Не достаточно просто существовать легитимной компанией с хорошими отзывами — крайне важно обеспечивать надежные меры контроля и защиты персональной информации клиентов. Особенно в таких нишах, как техника и электроника, где пользователи часто обращаются за возвратом и обслуживанием. Отсутствие у GoHardDrive программы bug bounty и крайне низкая компенсация ($20) за обнаруженную и раскрытую уязвимость также свидетельствуют о недостаточной серьезности вопросов информационной безопасности в компании. Хорошие практики включают в себя развитие систем мотивации исследователей безопасности, что способствует своевременному выявлению и устранению уязвимостей, прежде чем ими могут воспользоваться злоумышленники. В заключение, инцидент с GoHardDrive — это показатель того, как слабые механизмы верификации и отсутствие базовых мер безопасности могут привести к масштабным утечкам данных, поставить под угрозу конфиденциальность клиентов и подорвать доверие к компании.
![Pampena vs. Musk (ND Cal 2022) 30 June 2025 Order on motion to compel responses [pdf]](/images/CA3DF7D7-1E08-42FB-8379-C4C4C60AE672)
