Xakep #305. Многошаговые SQL-инъекции
Ранее в этом месяце правоохранительные органы отчитались о закрытии подпольных торговых площадок AlphaBay и Hansa Market в результате крупной международной операции, в которой принимали участие США, Канада, Таиланд, Голландия, Великобритания, Франция, Литва, а также представители Европола, ФБР и Управления по борьбе с наркотиками.
Как выяснилось, первым «пошел ко дну» сайт Hansa, над серверами которого еще 20 июня 2017 года перехватила управление полиция Голландии. После этого сайт продолжал работать еще месяц, до недавнего времени, что позволило правоохранителям собрать множество улик и информации о клиентах (продавцах и покупателях) торговой площадки.
Однако голландские правоохранители не просто передали собранные данные Европолу и коллегам из других ведомств и умыли руки. Дело в том, что проблема повторного использования одних и тех же паролей актуальна даже в даркнете. Так, после закрытия AlphaBay и Hansa пользователи начали мигрировать на крупнейшую оставшуюся «в живых» торговую площадку Dream Market. У ряда пользователей уже были учетные записи на Dream Market, к которым они вернулись, другие создали новые аккаунты. Но голландцы обнаружили, что при этом у многих продавцов не подключена двухфакторная аутентификация, и они используют одинаковые пароли для разных сервисов.
Теперь пользователи Dream Market обнаружили, что правоохранительные органы перехватили контроль как минимум над 14 аккаунтами продавцов, чей PGP-ключ сменился на принадлежащий полиции. Это учетные записи 00DRGREEN00, BoulderMedical, cannab1z, cocaMG, dutchcandyshop, DrPoseidon, GlazzyEyez, Gridlockdope, guessguess, ibulk, iCoke, MarcoPolo420, mushroomgod, wolfydutch.
Dutch National Police have taken over several Dream accounts. PGP key id: 6682AB28 fingerprint: 25A78CC4EA76D2A4D018F3C0E16207516682AB28 pic.twitter.com/pVV6lce0RB
— C (@5auth) July 25, 2017
Один из продавцов подтвердил на Reddit, что недавно он лишился доступа к своему профилю на Dream Market, причем на этой торговой площадке он использовал тот же пароль, что и на Hansa.
Также даркнет-сообщество обеспокоено так называемыми locktime-файлами, которые пользователи Hansa скачивали с сайта еще до его закрытия. Дело в том, что при нормальных обстоятельствах locktime-файл представляет собой простой лог транзакций продавца, в котором содержится информация о проданных товарах, покупателях, времени продаж, ценах и подпись Hansa. Такие файлы используются для аутентификации продавцов, когда нужно запросить биткоины после завершения сделки, или в том случае, если торговая площадка не работает по техническим причинам.
Журналисты издания Bleeping Computer, ссылаясь на источники близкие к администрации Hansa, пишут, что, как правило, locktime-файлы даркнет-маркета существовали в формате простого текста. Однако сообщается, что незадолго до закрытия ресурса locktime-файлы были подменены на файлы Excel, внутри которых содержалось скрытое изображение. Изображение подгружалось с серверов Hansa, после чего на сервере оседал IP-адрес продавца. Теперь многие продавцы опасаются, что информация об их реальных IP-адресах уже перешла в руки голландских правоохранителей и не только их.