Ранее в этом месяце правоохранительные органы отчитались о закрытии подпольных торговых площадок AlphaBay и Hansa Market в результате крупной международной операции, в которой принимали участие США, Канада, Таиланд, Голландия, Великобритания, Франция, Литва, а также представители Европола, ФБР и Управления по борьбе с наркотиками.

Как выяснилось, первым «пошел ко дну» сайт Hansa, над серверами которого еще 20 июня 2017 года перехватила управление полиция Голландии. После этого сайт продолжал работать еще месяц, до недавнего времени, что позволило правоохранителям собрать множество улик и информации о клиентах (продавцах и покупателях) торговой площадки.

Однако голландские правоохранители не просто передали собранные данные Европолу и коллегам из других ведомств и умыли руки. Дело в том, что проблема повторного использования одних и тех же паролей актуальна даже в даркнете. Так, после закрытия AlphaBay и Hansa пользователи начали мигрировать на крупнейшую оставшуюся «в живых» торговую площадку Dream Market. У ряда пользователей уже были учетные записи на Dream Market, к которым они вернулись, другие создали новые аккаунты. Но голландцы обнаружили, что при этом у многих продавцов не подключена двухфакторная аутентификация, и они используют одинаковые пароли для разных сервисов.

Теперь пользователи Dream Market обнаружили, что правоохранительные органы перехватили контроль как минимум над 14 аккаунтами продавцов, чей PGP-ключ сменился на принадлежащий полиции. Это учетные записи 00DRGREEN00, BoulderMedical, cannab1z, cocaMG, dutchcandyshop, DrPoseidon, GlazzyEyez, Gridlockdope, guessguess, ibulk, iCoke, MarcoPolo420, mushroomgod, wolfydutch.

Один из продавцов подтвердил на Reddit, что недавно он лишился доступа к своему профилю на Dream Market, причем на этой торговой площадке он использовал тот же пароль, что и на Hansa.

Также даркнет-сообщество обеспокоено так называемыми locktime-файлами, которые пользователи Hansa скачивали с сайта еще до его закрытия. Дело в том, что при нормальных обстоятельствах locktime-файл представляет собой простой лог транзакций продавца, в котором содержится информация о проданных товарах, покупателях, времени продаж, ценах и подпись Hansa. Такие файлы используются для аутентификации продавцов, когда нужно запросить биткоины после завершения сделки, или в том случае, если торговая площадка не работает по техническим причинам.

Журналисты издания Bleeping Computer, ссылаясь на источники близкие к администрации Hansa, пишут, что, как правило, locktime-файлы даркнет-маркета существовали в формате простого текста. Однако сообщается, что незадолго до закрытия ресурса locktime-файлы были подменены на файлы Excel, внутри которых содержалось скрытое изображение. Изображение подгружалось с серверов Hansa, после чего на сервере оседал IP-адрес продавца. Теперь многие продавцы опасаются, что информация об их реальных IP-адресах уже перешла в руки голландских правоохранителей и не только их.



3 комментария

  1. Themistocles

    29.07.2017 at 09:24

    Жесть какая. Прямо борьба американцев с партизанами. Только партизаны какие-то неумелые.

  2. john_

    01.08.2017 at 09:43

    Кто использует одинаковые пароли, тот лопух. К тому же уже давно придумали, как можно пустить трафик виртуальной машины через тор. Открываешь виртуальную машину — делаешь что хочешь. Твой реальный ip в безопасности. Профит.

Оставить мнение