9 мин.

🕵️‍♂️ За скаутами ЦСКА кто-то шпионил онлайн. Подозревают платный сервис со статистикой

Он признал уязвимость и исправил ее.

Период дозаявок в России открывается 26 июля, но шумно уже сейчас – в теге «возможные трансферы» с каждым днем все больше жизни. При этом многие из вас не заходят в трансферные слухи без бронежилета – например, в комментариях под новостью об интересе «Спартака» к Пикачу вы справедливо обсуждаете не футбольные перспективы бразильца (он вряд ли когда-либо переедет в Россию), а его фамилию. Утомительные трансферные сериалы научили фильтровать слухи, мы уже понимаем, что вбрасывать информацию знакомому инсайдеру – заезженный прием агентов для придания веса клиенту, и с каждым годом это работает все хуже. 

Но, кажется, в РПЛ появился новый способ появления трансферных слухов. Послушаем гендиректора ЦСКА Романа Бабаева. 

«Существует система, где клубы могут узнать информацию о футболистах – матчи, голы, срок контракта и так далее, – сказал Бабаев Bobsoccer. – К сожалению, как мы недавно узнали, с некоторых ресурсов осуществляется утечка данных, какой именно клуб просматривал информацию о том или ином игроке. Вот так и появляются «новости» об интересе нашего клуба к ряду игроков».

Что зашифровано в этой цитате: ЦСКА просматривает потенциальных новичков в специальных программах, а на следующий день медиа публикуют трансферные инсайды (речь об интересе к нападающему «Сан-Лоренсо» Адольфо Гайчу и полузащитнику загребского «Динамо» Арияну Адеми). В ЦСКА подозревают, что администраторы сервисов наблюдают за активностью клуба и передают эти данные кому-то еще. 

При этом Бабаев не уточняет, о какой программе речь. Анонимный телеграм-канал #Лучшаялигамира пишет, что речь про компанию Instat. ЦСКА и остальные клубы РПЛ действительно пользуются их услугами. Как выяснил Sports.ru, с этого сезона лига централизованно подписывает участников на этот сервис, а плату за пользование (2-2,5 млн рублей в год c каждого клуба) потом вычитает из призовых. Эту схему (с обязательной подпиской для каждого клуба) ранее опробовали в ФНЛ и ПФЛ. При этом некоторые клубы параллельно могут подписываться и на другие сервисы (например, WyScout).

Принцип у всех платформ один: клиенту создают аккаунт (иногда одним логином и паролем пользуются несколько человек из клуба), попадая в сервис, скаут получает доступ к огромной базе данных с видео и статистикой, может компоновать нарезки нужных игроков и формировать списки избранных. 

Сотрудники InStat действительно могли наблюдать за действиями скаутов, но теперь – нет

В телеграм-канале #Лучшаялигамира также опубликовали скриншоты внутреннего интерфейса InStat – по ним видно, что администраторы действительно видят, профайлы каких футболистов просматривал клиент.

Ниже – журнал действий скаута одного из московских клубов.

В воскресенье мы связались с директором по развитию InStat Владимиром Кравцовым. Он подтвердил подлинность скриншотов, но уточнил: уязвимость уже устранена. И во многом из-за намеков ЦСКА.

«Мы признаем, что это реальные скриншоты из нашей внутренней CRM-системы. Безусловно, мы понимаем, что она должна быть максимально закрытой. Поэтому, к примеру, пароли в этой системе меняются каждые два месяца. Неважно, руководитель это или стажер, каждый пользователь обязан менять пароль раз в два месяца, иначе его система попросту не впустит. Но публикации этих скриншотов подтолкнули нас к усилению мер безопасности.

Помимо этого, в ближайшую неделю будут введены дополнительные меры защиты, о чем мы отдельно оповестим клубы. Эти меры будут направлены на то, чтобы даже имея самые серьезные возможности по расшифровке данных, никто не мог отслеживать те страницы, которые посещают пользователи.

Возвращаясь конкретно к CRM (из которой как раз и были сделаны те самые скриншоты), я хотел бы продемонстрировать, как она выглядит сейчас – на примере аккаунта Sports.ru в InStat (ниже журнал действий сотрудников Sports.ru за 20 июня).

 

В этом случае я вижу, что вы заходили в профайлы неких игроков, но я не вижу, какого именно игрока вы просматривали. Больше нет подробных данных. В первую очередь, эта детализация нам нужна была, чтобы понимать, какими вещами в нашей системе люди пользуются больше, а какими – меньше. Система InStat Scout – многогранна. Важна не фамилия игрока или название команды, которую посетил пользователь, а те опции, которые были при этом задействованы. В отдельных случаях подобный доступ также помогал сотрудникам нашей технической службы быстрее отреагировать на обращения пользователей.

Но этот доступ был не у всех. Невозможно представить менеджера на первом месяце испытательного срока, который мог бы смотреть любые посещенные страницы любого человека. Даже у меня как директора по развитию с 9-летним опытом работы в InStat никогда не было доступа ко всей информации в системе, такой доступ у меня был лишь по странам с которыми работают мои менеджеры.

В InStat пока не нашли сотрудника, который предположительно передавал в медиа информацию об активности скаутов ЦСКА.

«В ближайшее время мы поймем, кто распространял данные из нашей внутренней системы. Есть ощущение заказа для очернения именно InStat, потому что человек, опубликовавший скриншоты в не самом популярном телеграм-канале, вряд ли имел от этого какую-то серьезную финансовую выгоду. Но мы еще успеем узнать, кто заварил эту кашу. И для нас это – не самоцель. Сейчас наша задача – сделать все для поддержания доверия и уважения клубов, чтобы они были довольны.

С ЦСКА общаемся в еженедельном режиме. И очень ценим наше сотрудничество. Никаких прямых претензий от клуба не поступало. Так как мы готовим сейчас контракты на новый сезон, если бы были серьезные претензии, нам бы их высказали».

Как вообще понять, что сервису можно доверять? Сотрудники ютуба тоже знают, что мы смотрим?

Простых способов нет. Для оценки безопасности отдельного сервиса нужна экспертиза, без нее невозможно ответить, в безопасности ли данные. Футбольные базы очень похожи на платформы, которыми мы пользуемся ежедневно – фейсбук, ютуб и так далее (например, у скаутских сервисов есть функция «вам также понравится» – с ее помощью «Арсенал» нашел Лукаса Торрейру, ссылка на него светилась под профайлом Нголо Канте). И эти общедоступные сервисы действительно знают, какое видео и в какое время вы смотрите. 

«Эту информацию не принято шифровать, но принято полностью обезличивать, – рассказывает Sports.ru Сергей Никитин из лаборатории компьютерной криминалистики Group-IB. – Третьи стороны могут получать (покупать) данные для рекламы и аналитики, но из серии: «мужчина 35 лет с ребенком и женой смотрел это видео». Доступ к информации имеет ограниченный перечень персонала, с отслеживанием активности и деятельности, чтобы предотвратить утечки». 

Руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников подробнее рассказал о принципах защиты данных и разобрал пример Instat. Вот его основные мысли. 

• Данные обычно шифруются, но у сотрудников есть ключи.

«Доступ к данным владельцев или пользователей сервиса не отменяет их шифрование. То есть данные о вас могут храниться в зашифрованном виде, чтобы в случае утечки базы сервиса злоумышленники не смогли их расшифровать. При этом у сервисов есть ключ для расшифровки данных».

• Instat обещает защиту данных, но как именно, проверить сложно.

«Наличие мер защиты прописывают в пользовательском соглашении сервиса и в data protection policy. Но сервисы не обязаны указывать, какие именно меры они применяют. Поэтому узнать детали шифрования можно, только обратившись к владельцу сервиса. В случае с InStat в их пользовательском соглашении прописано, что они эти данные защищают».

• Просто шифрования мало, нужно ограничить доступ всех подряд к данным.

«Замечу, что помимо технических средств защиты информации не менее важны организационные, – продолжает Наместников. – Важно не только, чтобы персональные данные хранились в зашифрованном виде, нужно также разграничивать к ним доступ [персонала]. Доверие пользователей сервисов можно укрепить за счет прохождения компанией различных сертификаций, связанных с информационной безопасностью, но это процесс долгий и требует серьезных инвестиций».

И это ключевая мысль. Даже если компания заявляет о добросовестности, то при слабой системе внутренней безопасности эти гарантии ничего не стоят. Если у одного-двух-трех сотрудников есть доступ к незашифрованным данным клиентов, то утечки – дело времени.

Прежде продвинутые скаутские сервисы в России приносили только пользу, кажется, это вообще первая история, связанная с возможным кибершпионажем в РПЛ. А вот в АПЛ через это уже проходили. 

Из-за утечек из скаутского сервиса «Ливерпуль» попал на миллион фунтов

В течение 2012-го из «Манчестер Сити» в «Ливерпуль» по очереди ушли три скаута – Майкл Эдвардс, Дэйв Фэллоуз и Джулиан Уорд. 

Джулиан Уорд

А летом 2013-го в офисе «Сити» запаниковали – их аккаунт в скаутской системе Scout7 (база данных футболистов со всего мира со статистикой и видеонарезками) явно кто-то взломал. В журнале посещений обнаружили несколько странных IP – они не принадлежали сотрудникам «Ман Сити». Параллельно выяснилось, что «Ливерпуль» вдруг вышел на 15-летнего подростка из «Сарагосы», которого давно вел «Сити» и который не засветился нигде, кроме матчей за академию испанцев.

Ушедшие скауты, интерес к одному и тому же неизвестному футболисту, странные IP – совпадений было слишком много. В Футбольную ассоциацию Англии мгновенно полетела жалоба от «Сити».

Через шесть лет «Ливерпуль» косвенно признал вину. По данным The Times, клуб выплатил конкурентам миллион фунтов как возмещение ущерба. Пеп Гвардиола считает, что в наше время такой шпионаж уже не работает. 

«Сейчас секретов больше нет. Все знают, что происходит даже в правительствах стран вроде России и США. Что там произошло в «Ливерпуле», не знаю, это было в 2013-м». 

Пеп прав – секретов действительно меньше, и даже если клуб получит доступ к журналу активности скаута конкурента, не факт, что это поможет. Например, в офисе «Тамбова» вполне могут просматривать профайл Лео Месси вперемешку с игроками ФНЛ, но это не говорит, что «Тамбов» в гонке за суперзвездой.

С другой стороны, ежегодно клубам предлагают по 2-3 тысячи футболистов, и скауты перемалывают гигантский объем информации, фильтруя из этого массива двух-трех подходящих и малоизвестных футболистов. И вряд ли им хочется делиться этой работой с медиа или конкурентами. 

Все хотят взломать футбол: «Арсенал» тратится на алгоритм для скаутов, а Депай выбрал «Лион» математическим моделированием

Фото: РИА Новости/Владимир Астапкович, Александр Вильф; Gettyimages.ru/Cathrin Mueller; liverpoolfc.com