Xakep #305. Многошаговые SQL-инъекции
Весной 2017 года Министерство юстиции США огласило список подозреваемых во взломе компании Yahoo и хищении данных 500 миллионов пользователей в 2014 году. Тогда правоохранители сообщили, что хакеры-наемники атаковали Yahoo «по указке» сотрудников ФСБ, которым затем были переданы все полученные данные, которые были использованы для нелегального доступа к аккаунтам Yahoo, Google и других почтовых провайдеров.
Тогда сообщалось, что хакеры получили доступ к учетным записям 6500 пользователей, включая российских журналистов, сотрудников различных компаний (в пресс-релизе упомянуты французская транспортная компания, российская инвестиционная компания, швейцарская компания, занимающаяся Bitcoin и так далее), в том числе занимающихся кибербезопасностью, а также российских и американских чиновников.
Во вторник, 28 ноября 2017 года, один из обвиняемых по этому делу, гражданин Канады и Казахстана Карим Баратов, предстал перед судом в Сан-Франциско. Баратов признал свою вину во взломе более 11 000 учетных записей электронной почты в период с 2010 по 2017 годы, в том числе по поручению ФСБ и других заказчиков. Пароли от взломанных учетных записей Баратов пересылал Дмитрию Докучаеву, сотруднику отдела Центра информационной безопасности ФСБ, который был арестован в декабре 2016 года по делу о государственной измене.
Впрочем, адвокат Баратова заявил журналистам, что на тот момент его клиент даже не подозревал о том, что работает на ФСБ. Якобы Баратов просто рекламировал свои услуги по взлому в даркнете и на хакерских форумах, и к нему обратились с предложением взломать около 80 аккаунтов (в основном почтовых ящиков Gmail). Баратов согласился, но успел взломать не более восьми учетных записей.
Напомню, что эта информация совпадает с данными, обнародованными Минюстом США ранее. Так, весной сообщалось, что Баратов подключился к хакерской операции спецслужб позже всех, когда основные фигуранты этого дела (Докучаев, Сущин и Белан) не сумели получить доступ к ряду аккаунтов, используя данные, украденные у компании Yahoo. В итоге Баратову заказали взлом более 80 учетных записей, которые интересовали преступников.
Приговор по делу Баратова будет оглашен 20 февраля 2018 года в Сан-Франциско. Хакер уже согласился выплатить своим жертвам в досудебном порядке $2 250 000 (по $250 000 за каждый случай). В настоящее время Баратов содержится под стражей в Калифорнии без возможности выйти под залог.