Хакер #305. Многошаговые SQL-инъекции
AlphaBay является одной из самых популярных торговых площадок даркнета на сегодня. К тому же магазин можно назвать наиболее инновационным, так как его операторы постоянно добавляют сайту новые функции и стараются сделать процесс торговли более удобным как для продавцов, так и для покупателей. Постоянное желание улучшаться сыграло с AlphaBay злую штуку. Новая функция, добавленная в API, по ошибке сделала личные сообщения пользователей сайта общедоступными.
Операторы AlphaBay стараются, чтобы их ресурс отвечал последним сетевым тенденциям. В 2015 году на сайте появился полностью автоматизированный магазин по продаже банковских карт, затем заработала система контрактов, а недавно площадка стала предлагать пользователям двухфакторную аутентификацию.
По состоянию на среду, 27 апреля, в магазине насчитывалось более 91 000 лотов с наркотиками и более 18 000 фраудерских предложений.
Еще одно обновление торговая площадка получила на этой неделе: в API добавили функцию, которая позволяет зарегистрированным пользователям сайта, не входя в систему, получить доступ к определенной информации со своих аккаунтов. API AlphaBay позволяет клиентам ресурса читать сообщения, писать новые, проверять свой баланс, выводить средства со счета, узнавать о состоянии лотов и заказов.
https://twitter.com/josephfcox/status/724957462588170240
Из-за ошибки разработчиков нововведение позволило пользователям читать личные сообщения друг друга. Проблема в том, что на ресурсах, подобных AlphaBay, в личных сообщениях могут содержаться платежные реквизиты, адреса доставки товаров и другие данные, которыми обычно обмениваются продавец и покупатель.
Нечто странное заметили сразу несколько пользователей AlphaBay, о чем и поспешили рассказать на Reddit. К примеру, пользователь Aboutthednm писал: «В общем, я включил API, запросил сообщения и в ответ получил чьи-то чужие сообщения, перемешанные с моими». Aboutthednm также опубликовал несколько скриншотов, некоторые из которых определенно содержали переписку продавца с покупателем. Так как не все сообщения были зашифрованы, пользователь заявляет, что сумел увидеть даже чужой физический адрес, а также данные о нескольких Netflix и Paypal аккаунтах, которые часто продают на черном рынке.
Другой пользователь — dnmThief тоже заметил баг и сообщил: «Вы можете просмотреть сообщения любого пользователя, просто меняя ID». dnmThief утверждает, что сумел собрать личные данные более чем 15 пользователей магазина.
Журналисты Vice Motherboard связались с официальными представители AlphaBay и пообщались с ними в зашифрованном чате. Операторы магазина сообщили, что замеченная пользователями проблема действительно имела место, но была актуальна лишь на протяжении шести часов. Ошибка не затронула финансы пользователей, так как для вывода средств всё равно требовалось ввести шестизначный PIN-код. Также администрация подтвердила информацию, опубликованную на страницах Reddit: пользователю Aboutthednm, нашедшему баг, выплатят вознаграждение.
«Жаль прерывать ваше веселье, но уязвимость была устранена», — пишут администраторы AlphaBay. — «Читались только диалоги с 1 по 13 500 (из 1 067 682), что составляет 1,5% от общего числа, и все они были более чем годичной давности».
Интересно, что ID на некоторых скриншотах Aboutthednm были куда выше заявленного и доходили до 77 232, и некоторые пользователи сообщают, что успешно добрались до 1 067 440. К сожалению, на данный момент Aboutthednm уже отредактировал все свои сообщения, чтобы не раскрывать чужие личные данные, так что скриншоты более недоступны.
Хотя операторы магазина уверяют, что брешь устранена, личные сообщения были доступны на протяжении всего шести часов, а все раскрытые диалоги были старыми, пользователей это не успокаивает. Ни для кого не секрет, что спецслужбы приглядывают за происходящим в даркнете и отслеживают интересующие их темы на Reddit. Пользователи опасаются, что правоохранительным органам вполне хватило упомянутых шести часов, чтобы узнать много нового и интересного.
Фото: Bigstock