В январе 2017 года хакер, известный под псевдонимом Cipher0007, рассказал об уязвимости на подпольной торговой площадке AlphaBay. Проблема была серьезной и позволяла читать личные сообщения пользователей. Такая уязвимость критична для любого ресурса, но для сайта, на котором торгуют оружием, наркотиками, малварью, данными банковских карт и так далее, подобная проблема и вовсе фатальна.
Тогда операторы AlphaBay приняли решение выплатить Cipher0007 своеобразное bug bounty: исследователю заплатили неназванную сумму, чтобы он объяснил, какие методы использовал для доступа к личным сообщениям пользователей и для сбора их ID. В итоге уязвимости были устранены.
Теперь Cipher0007 вернулся и сообщил, что взломал еще одну, менее известную подпольную торговую площадку, Sanctuary, обнаружив на сайте SQL-уязвимость.
Хакер пишет, что воспользовался SQL-инъекцией для загрузки шелла на сервер ресурса. Затем, используя полученный бэкдор, Cipher0007 получил доступ к различным частям бэкэнда и похитил приватные ключи, которые использовались для генерации onion-адреса торговой площадки. Также "исследователь" сообщил, что воспользовался phpMyAdmin, чтобы получить дамп с конфигурацией БД, информацией об учетных данных и так далее.
В качестве доказательства своих слов Cipher0007 опубликовал скриншоты загрузки шелла на сервер Sanctuary, приватный 1024-битный ключ RSA, а также учетные данные от root-аккаунта БД.
Администрация Sanctuary пока никак не отреагировала на случившееся и не комментирует ситуацию. Более того, страница логина phpMyAdmin до сих пор «смотрит» в сеть и открыта для любых соединений.
Publicly accessible phpMyAdmin login for Dark Web marketplace. Is it any wonder the marketplace got hacked 8h ago? pic.twitter.com/hr7zr7gH4N
— Catalin Cimpanu (@campuscodi) May 31, 2017