04/08/22
Криптобиржа KuCoin, которая входит в десятку крупнейших в мире, обвиняет своего IT-подрядчика — компанию Convexity — «во взломе серверов и неправомерном использовании конфиденциальной информации», сообщает издание RTVI. При этом Convexity свою вину отрицает и обвиняет во взломе криптобиржы субподрядчиков — компанию Wallarm, известную в сфере IT российскую компанию, которую создали выходцы из журнала «Хакер» Иван Новиков и Степан Ильин. Wallarm обвинения во взломе тоже отвергает.Об этом пишет Securitylab.
Судебные разбирательства между KuCoin и ее подрядчиком по обеспечению информационной безопасности — компанией Convexity начались еще 2019 года. Все стороны обвиняли друг друга в нарушении условий заключенного соглашения о предоставлении услуг по информационной безопасности. Однако KuCoin пошла дальше и выдвинула иск, в котором обвинила Convexity в «нарушении конфиденциальности, путем взлома сервера [KuCoin] и неправомерного использования конфиденциальной информации». Convexity эти обвинения в свой адрес отвергла, но обратилась с иском к Wallarm, в котором заявила, что Wallarm и лично ее основатель и гендиректор Иван Новиков ответственны за взлом KuCoin.
«KuCoin утверждает, что Новиков и Wallarm неправомерно, в течение нескольких раз получили доступ к системе KuCoin без авторизации, скачали чувствительную пользовательскую информацию, исходный код, торговые данные, пользовательское ПО, алгоритмы, методы, базу данных пользователей и другую конфиденциальную информацию, принадлежащую KuCoin и/или ее пользователям, и даже пытались получить доступ к средствам клиентов — все это в обход закона, — говорится в иске Convexity. — KuCoin утверждает, что Convexity должна нести ответственность за предполагаемые правонарушения Новикова и Wallarm».
Wallarm в материалах суда обвинения во взломе называет «ложными», «чрезвычайно убийственными обвинениями», которые наносят компании, известной на рынке информационной безопасности, ущерб и негативно влияют на ее бизнес и профессиональную репутацию. Компания также заявляет, что эти обвинения необоснованны и призваны лишь «засорить материалы дела», цель которого лишь «ненадлежащим образом получить деньги».
Как пишет RTVI, в 2018 криптобиржа KuCoin и Convexity планировали создать совместное предприятие. Предполагалось, что KuCoin внесет в СП свою технологическую платформу для торговли криптовалютой, а Convexity будет управлять операционными и юридическими вопросами совместной компании. Перед созданием СП решили провести комплексную оценку бизнеса KuCoin и его инвестиционных рисков. Частью процесса стал пентест.
К проведению пентеста Convexity привлекла лично Ивана Новикова. В августе 2018 года с ним устно заключили контракт, просто обсудив условия работы в мессенджере, а затем предоставили ему копию соглашения о проведении пентеста, заключенную между KuCoin и Convexity, и разъяснили, что работа должна соответствовать его условиям.
После проведения пентеста Convexity решила продолжить сотрудничество с Новиковым и в декабре 2018-го заключила контракт с его компанией Wallarm для предоставления KuCoin услуг по информационной безопасности, предусмотренных сервисным соглашением. Wallarm должна была предоставить KuCoin свой софт Wallarm WAF, обеспечить аудит инфраструктуры, постоянную поддержку и защиту сервисов.
В сентябре 2019 года сервисное соглашение между KuCoin и Convexity, а следовательно, и договор о предоставлении услуг с Wallarm, были расторгнуты. За этим последовали обращения всех компаний в суды. Convexity в октябре 2019-го обратилась в Сингапурский международный арбитражный суд с иском к KuCoin, криптобиржа затем подала встречный иск. В апреле 2020-го Convexity подала иск к Wallarm и лично Ивану Новикову в Верховный суд Калифорнии округа Сан-Франциско, а в марте 2021-го Wallarm ответила встречным иском.
KuCoin в суде утверждала, что разорвала сервисное соглашение с Convexity, так как компания «существенно нарушила свои договорные обязательства». Кроме того, криптобиржа подала отдельный иск, в котором заявила, что Convexity «нарушила конфиденциальность, взломав сервер [KuCoin] и неправомерно воспользовавшись конфиденциальной информацией компании». В KuCoin также отметили, что соглашение с Convexity было «заключено под давлением», но уточнений, в чем заключалось это давление, в открытых материалах дела нет.
Convexity в суде Сингапура требовала от KuCoin выплатить неустойку в размере $2,8 млн за преждевременный разрыв сервисного соглашения и отрицала обвинения во взломе, а в американском суде компания во всех проблемах обвинила своих субподрячиков — Wallarm. «KuCoin полностью потеряла доверие к Wallarm и, как следствие, к самой Convexity», говорится в заявлениях Convexity в суде. Причиной тому, по словам Convexity, стали «чрезвычайно несовершенные» услуги от Wallarm, которые заключались в «медленном реагировании, невнимательности, неправильной настройке программного обеспечения, неспособности обнаружить или предотвратить инциденты в сфере безопасности, с которыми сталкивалась команда KuCoin, а также в высоком уровне отказов программного обеспечения Wallarm».
Кроме этого, Convexity предъявила претензии по поводу проведения пентеста: компания заявила, что его проводил не лично Новиков, а Wallarm — и это не было согласовано и авторизовано ни Convexity, ни KuCoin. «KuCoin утверждает, что вмешательство Wallarm в пентест было нарушением соглашения о пентесте», — говорится в материалах дела.
Судебные споры между KuCoin, Convexity и Wallarm длятся третий год и на данный момент по-прежнему не завершены.
