Главная » Хабрахабр » Lenovo заплатит владельцам ноутбуков компенсацию $8,3 млн за установку зловреда Superfish

Lenovo заплатит владельцам ноутбуков компенсацию $8,3 млн за установку зловреда Superfish

CA-сертификат Superfish в хранилище ключей Windows

При подробном рассмотрении это оказался типичный зловред, который прослушивает трафик, анализирует поисковые запросы и внедряет рекламу на страницы сторонних сайтов. В феврале 2015 года компанию Lenovo уличили в установке на ноутбуки вредоносной программы VisualDiscovery, разработанной Superfish. Для этого, оно устанавливает корневой CA-сертификат Superfish в хранилище ключей Windows (с приватным ключом к нему) и проксирует весь трафик между хостом и браузером, подменяя сертификат на свой. Приложение перехватывает, в том числе, HTTPS-трафик. Простой брутфорс по словарю из 2203 слов с помощью взломщика сертификатов pemcrack определил пароль для приватного ключа komodia.

Выяснилось, что данный зловред устанавливается на ноутбуки Lenovo с сентября 2014 года.
Дальнейшее расследование показало, что в общей сложности зловред был установлен на 750 000 ноутбуков следующих моделей: E-Series, Edge Series, Flex-Series, G-Series, Miix Series, S-Series, U-Series, Y-Series, Yoga Series и Z-Series. В общем, история вышла крайне неприятная.

Зловред не только сам вторгался в зашифрованный трафик пользователя, но благодаря приватному ключу от сертификата с простым паролем потенциально предоставлял возможность для проведения MitM-атаки стороннему злоумышленнику, что ставит под угрозу конфиденциальность информации, в том числе финансовых данных и проч.


Приватный ключ для CA-сертификата Superfish

Но это не спасло её от наказания. После разразившегося скандала Lenovo выложила инструмент для автоматического удаления Superfish и инструкцию по его удалению вручную. Сначала возмездие пришло в виде хакерской атаки с дефейсом Lenovo.com, а сейчас китайскую фирму заставили выплатить компенсацию пострадавшим владельцам ноутбуков.

Против компании Lenovo был подан коллективный иск (PDF) в Федеральный окружной суд Северного округа Калифорнии с требованием о выплате компенсации, и 21 ноября 2018 года суд предварительно удовлетворил эти требования.

Эта сумма добавляется к предыдущей компенсации $1 млн, которую уже выделила Lenovo. Однако до выплаты установленной судом компенсации дело не дошло, потому что Lenovo договорилась с представителями истца о досудебной компенсации в размере $7,3 млн. Таким образом, общий объём фонда для выплаты компенсации пострадавшим американским пользователям теперь составляет $8,3 млн.

Она осталась при своём мнении, но выразила удовлетворение тем, что этот 2,5-летний процесс наконец-то закончен. Нужно заметить, что Lenovo долго не соглашалась с требованиями истца на том основании, что ей «неизвестно об эксплуатации программы Superfish третьими лицами». Об этом сказано в официальном (уже удалённом) пресс-релизе.

Если разделить компенсацию на всех 750 000 пострадавших пользователей, то каждому досталось бы всего лишь около $10. Возможно, из фонда придётся вычесть стоимость юридических услуг на ведение процесса. Так что $10 за человека — очень мало и даже выгодно для Lenovo. В принципе, это очень мало за установку MitM-прокси с внедрением рекламы: например, Amazon даёт скидку $20 на свои Kindle, если пользователь соглашается на просмотр рекламы. Если не считать ущерб для репутации.

Компенсация предусмотрена только для тех, кто в период с 1 сентября 2014 года по 28 февраля 2015 года купил на территории США ноутбуки следующих моделей: Но на практике количество компенсационных выплат может быть гораздо меньше, чем 750 000, так что и выплаты будут побольше, чем $10.

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G50-45
  • U Series: U430P, U430Touch, U530Touch
  • Y Series: Y40-70, Y50-70
  • Z Series: Z50-75, Z40-70, Z50-70
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2-10, MIIX2-11
  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW

Точный размер суммы компенсации зависит от количества пользователей, которые подадут заявления в фонд. Кроме этих денег, ранее Lenovo уже заплатила два штрафа по $3,5 млн по соглашению с Федеральной торговой комиссией и властями 32 штатов.

В России коллективный иск против Lenovo, насколько известно, не подавался, поэтому компенсация ущерба не предусмотрена.

АКЦИЯ GMO GlobalSign Russia для подписчиков Habr


Дополнительную информацию вы можете получить, связавшись с менеджером GlobalSign по телефону: +7 (499) 678 2210 или заполните форму на сайте, указав промо-код CS002HBFR.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

[Перевод] IntelliCode теперь и в TypeScript/JavaScript

На Build 2018 мы анонсировали Visual Studio IntelliCode: набор AI-инструментов, которые способствуют более качественной разработке. В сотрудничестве с командой IntelliCode мы рады сообщить, что теперь IntelliCode доступен пользователям TypeScript/JavaScript через расширение IntelliCode для VS Code. Что такое IntelliCode? IntelliCode дополняет ...

Анонимный Дед Мороз 2018-2019: пост хвастовства новогодними подарками

Анонимный Дед Мороз 2018-2019 набирает обороты: каждый пятый участник отметил подарок отправленным, а несколько человек даже нашли в себе силы встать из-за компьютера и забрать посылку на почте. Давайте зайдем в комментарии и все у них разузнаем! Что же именно ...