Хакер #305. Многошаговые SQL-инъекции
В конце марта во многих британских СМИ появилась информация об опасности приложения для видеоконференций Houseparty, которое обрело немалую популярность в последнее время, на фоне пандемии коронавируса, а также из-за повсеместного карантина и перехода на удаленную работу.
Сообщалось, что пользователи Houseparty массово жалуются на взломы аккаунтов в социальных сетях, а также учетных записей Netflix, eBay, Instagram, Snapchat и Spotify. Происходят эти взломы якобы именно после установки и использования Houseparty.
Тогда разработчики Houseparty сразу же опровергли эти публикации. Они объясняли, что приложение «не собирает пароли для других сайтов» и, следовательно, никто не может использовать его для извлечения учетных данных от других сервисов.
В итоге разработчики приложения и компания Epic Games, которой оно принадлежит, сообщили, что расследуют происходящее и предполагают, что данная клеветническая кампания может быть оплачена конкурентами с целью нанести Houseparty ущерб. Разработчики даже предложили награду в размере одного миллиона долларов за любую информацию об «авторах» данного фейка.
За прошедшее время заявленное вознаграждение так и не было никому выплачено, зато появилась новая информация о небезопасности Houseparty. И если ранее заявления о проблемах приложения действительно были крайне сомнительными, то теперь основатель компании Victory Medium и ИБ-эксперт Зак Эдвардс опубликовал куда более правдоподобную информацию о проблемах Houseparty.
Сначала Эдвардс раскритиковал Houseparty в Twitter из-за отсутствия заголовков Content Security Policy на странице сброса пароля, и решил продолжить изучение приложения. Дальнейший анализ выявил, что более десятка поддоменов thehousepartyapp.com распространяют вредоносные PDF-файлы. Выглядело это следующим образом:
http://nyc3-prod-worker-138-197-97-151.ms.thehousepartyapp.com/lib8/schafzucht.pdf?web=nyc3-prod-worker-138-197-97-151.ms.thehousepartyapp[.]com
Эдвардс рассказал журналистам издания The Register, что стоящая за этими файлами хакерская группа, похоже, активна уже почти два десятилетия. Хакеры захватывают поддомены и перенаправляют пользователей на сайты, якобы содержащие бесплатное потоковое видео, электронные книги и другие загрузки.
«Они компрометрируют поддомены зараженными PDF, которые наполнены богатым SEO-контентом и эксплоитами, из-за них пользователи сталкиваются с вредоносными редиректами и скамерскими сайтами. Домен аутентификации Houseparty тоже был скомпрометирован этой группой», — говорит исследователь.
Эдвардс назвал хак-группу «Pickaflick.com Crew», опираясь на старый домен, который группа ранее использовала для мошенничества с кредитными картами.
Исследователь поделился своими выводами с инженерами Epic Games, через официальную страницу bug bounty компании на HackerOne. Эксперт говорит, что не рассчитывал на то, что ему действительно заплатят, скорее хотел привлечь внимание компании и ИБ-сообщества к этой вредоносной кампании, чтобы помочь другим организациям, пострадавшим от действий этой группировки. Дело в том, что в общей сложности Эдвардс обнаружил на различных сайтах 8440 вредоносных PDF-файлов, связанных с группой.
«По-моему, все факты ясны: организованная группировка, специализирующаяся на мошенничестве с кредитными картами, использовала поддомены Epic Games для атак на пользователей. Эта группа продолжает организовывать атаки и занимается этим уже много лет», — пишет эксперт в отчете.
В отчете эксперта также приводятся ответные письма от команды безопасности Epic Games, которая отрицает, что кто-либо скомпрометировал системы и инфраструктуру компании. «Перечисленные поддомены указывали на заброшенные записи DNS, которые, в свою очередь, автоматически наследовались третьей стороной, которая размещала электронные книги», — гласит ответ Epic Games. То есть старые доменные записи, которые никто не удалил, указывали на IP-адрес, более не контролируемый Houseparty.
«Третья сторона унаследовала IP-адрес, который ранее принадлежал Houseparty, запись DNS, связанная с этим IP-адресом, не была удалена, и поэтому данный поддомен все еще направлен на соответствующий IP-адрес», — объяснили представители Epic Games изданию The Register.
Журналисты отмечают, что в настоящее время разработчики Houseparty, похоже, разобрались с проблемой и настроили свою инфраструктуру должным образом. Относительно же заявлений Эдвардса представители компании высказались следующим образом:
«Мы получили послание от человека, который пытался требовать награду, и тщательно изучили его, чтобы подтвердить достоверность информации. Но данный человек не предоставил proof of concept для этого теоретического бага, что требуется для всех программ bug bounty. Приложение Houseparty безопасно для использования на любом мобильном устройстве и защищено надежным шифрованием».