Исследователь, известный под псевдонимом Cipher0007, сообщил на Reddit о существовании уязвимости на подпольной торговой площадке AlphaBay. Проблема была серьезной и позволяла читать личные сообщения пользователей. Такая уязвимость критична для любого ресурса, но для сайта, на котором торгуют оружием, наркотиками, малварью, данными банковских карт и так далее, подобная проблема и вовсе фатальна.
Администрация AlphaBay не стала отрицать очевидное и признала наличие бага, сообщив, что хакер имел доступ к 218 000 личных сообщений пользователей, отправленных за последние 30 дней.
Операторы AlphaBay пишут, что Cipher0007 нашел еще одну уязвимость, позволявшую получить список всех юзернеймов сайта и соответствующих им ID. Наличие проблем также подтвердили и администраторы сабреддита DarkNetMarkets, которым исследователь в частном порядке предоставил доказательства существования багов.
На подпольных торговых сайтах, подобных AlphaBay, продавцы и покупатели, чаще всего, обсуждают подробности сделок именно через личные сообщения. Администрация AlphaBay позволяет пользователям применять PGP-ключи и шифровать информацию об адресе доставки, биткоин-кошельках, трекинг-номерах и другие конфиденциальные данные. Однако шифрованием и PGP-ключами пользуются не все, так что найденные Cipher0007 проблемы все равно можно было использовать для деанонимизации посетителей.
В итоге руководство AlphaBay приняло решение выплатить Cipher0007 своеобразное bug bounty вознаграждение: исследователю заплатили неназванную сумму, чтобы он объяснил, какие методы использовал для доступа к личным сообщениям пользователей и для сбора их ID. В настоящий момент уязвимости уже исправлены.
Стоит отметить, что это не первый подобный инцидент, связанный с AlphaBay. В начале 2016 года разработчики даркнет-площадки допустили ошибку: тогда в API добавили функцию, которая позволяет зарегистрированным пользователям сайта, не входя в систему, получить доступ к определенной информации со своих аккаунтов. API AlphaBay позволяет клиентам ресурса читать сообщения, писать новые, проверять свой баланс, выводить средства со счета, узнавать о состоянии лотов и заказов. Но из-за ошибки в коде нововведение также позволило пользователям читать личные сообщения друг друга, что заметили пользователи Reddit. Тогда утечка затронула примерно 13 500 сообщений, прежде чем проблема была устранена.
