Арт-рынок всегда ценит приватность своих сделок и личностей коллекционеров. Это один из самых непрозрачных рынков мира, и это при том, что его размер сопоставим с мировым рынком оружия. О деликатной приватности, как о фундаменте своего бизнеса заявляют и ведущие игроки — аукционные дома Christie’s и Sothebys. Но, как говорят, и на старуху бывает проруха.
Если вы вдруг отправляли на Christie’s фотографии своих артефактов, то вполне вероятно, что о месте их хранения уже знают все кому заблагорассудится.
Утечка данных аукционного дома Christie’s раскрыла точное местонахождение произведений искусства из богатейших частных коллекций мира.
Когда экспертов по кибербезопасности Мартина Чиршич и Андре Зильх из компании Zentrust Partners попросили провести аудит защищенности данных аукционного дома, им потребовалось всего несколько минут, чтобы найти брешь, которая ставит под угрозу сохранность предметов искусства сотен клиентов Christie’s.
«К сожалению, нам потребовалось всего несколько минут, чтобы обнаружить эту серьезную уязвимость, — рассказывает Чиршич в интервью The Washington Post. — Уязвимость настолько проста, что ею может воспользоваться любой пользователь браузера в течение нескольких минут».
«Около 10 процентов загруженных изображений содержат точные GPS-координаты», — говорят исследователи.
Это означает, что на их фотографиях указан не только адрес улицы, где они были сделаны, но и точное местоположение с точностью до метра.
Обмен фотографиями между коллекционером и аукционным домом — распространённая практика на этом рынке. Прежде чем расстаться со своим произведением искусства и отправить его на торги владельцы предпочитают вести предварительные переговоры по Интернет. Поэтому эта уязвимость потенциально очень опасна.
Но удивительное в этой истории не это, а напыщенная самонадеянность арт-дилера.
Когда в июле команда Zentrust Partners предупредила Christie’s об утечке конфиденциальных данных — те ничего не делали в течение двух месяцев.
Чиршич и Зильх предложили помочь решить проблему — они часто выполняют такого рода работу, в том числе для немецкой системы здравоохранения и избирательной комиссии, — аукционный дом ответил, что «нам не требуются никакие советы или помощь».
«Как эксперты по кибербезопасности, мы были очень удивлены такой реакцией», — говорит Пшик, отмечая, что устранение угрозы требовало всего несколько дней, если не часов.
Неясно, будет ли аукционный дом напрямую связываться с клиентами, чьи данные были скомпрометированы.
По словам одного из коллекционеров, который недавно направлял снимки Christie’s, пишет The Post, что аукционный дом ни словом не упомянул об утечке и о ней он узнал из газет.
Зато pr-служба аукционного дома работает, как надо.
«Christie’s уважает заботу своих клиентов о конфиденциальности и рассматривает защиту клиентской информации как главный приоритет. Мы поддерживаем комплексную программу информационной безопасности, состоящую из мер предосторожности, предназначенных для защиты от несанкционированного доступа к информации клиентов и ее раскрытия», — отвечает она на запрос прессы.
Удивительная история. Тем более, что, кажется, уже на каждом углу пишут — не размещайте необработанные фотографии в соцсетях и открытом доступе. В них содержится мета-информация о месте, времени и технике, с помощью которого сделан снимок. Имея свежий снимок из Сочи, преступники знают, что вас нет дома. Остальные фотографии подскажут точный адрес, куда нужно наведаться пока вы в отъезде.