Хакер #305. Многошаговые SQL-инъекции
В начале ткущей недели группа активистов DDoSecrets (Distributed Denial of Secrets), описывающая себя как «борцов за прозрачность», опубликовала в открытом доступе 269 Гб данных, принадлежащих правоохранительным органам и центрам обработки информации в США. Представители DDoSecrets утверждают, что данные были «любезно предоставлены» им хактивистами из Anonymous.
Этот дамп получил название BlueLeaks и содержит миллионы документов, видео- и аудиозаписей, которые были украдены у техасской хостинговой компании Netsential, предоставляющей услуги правоохранительным органам США.
Дамп содержит файлы более чем за десять лет, принадлежащие 200 различным полицейским управлениям и центрам обработки информации в США. Большинство файлов — это отчеты полиции и ФБР, бюллетени безопасности, различные руководства для правоохранительных органов и многое другое.
Этот «слив» читают самым большим взломом в истории правоохранительных органов США, так как он раскрывает секретные материалы за десять лет, в том числе о том, как полиция США обучала персонал и проводила операции.
Файлы BlueLeaks доступны на собственном сайте DDoSecrets, но публикацию дампа анонсировали и активно рекламировали через Twitter. И теперь Twitter заблокировал учетную запись DDoSecrets из-за нарушения правил: из-за распространение данных, полученных незаконным путем (то есть посредством взлома), которые содержат личную информацию, могут использоваться для причинения физического вреда или содержать коммерческую тайну.
В интервью изданию Wired руководитель DDoSecrets, журналистка Эмма Бест, рассказала, что активисты всеми силами старались избежать публикации любой конфиденциальной информации. Так, команда потратила неделю на очистку файлов от «особо деликатных данных о жертвах преступлений и детях, а также от информации о частных предприятиях, учреждениях здравоохранения и ассоциациях ветеранов». Однако Бест признала, что они могли что-то пропустить.
Теперь представители Twitter сообщили изданию ZDNet, что среди данных BlueLeaks действительно была неотредактированная информация, которая могла подвергать риску конкретных людей. Также в компании подчеркнули, что правила платформы строго запрещают распространение любых подобных материалов.
Социальная сеть уже подверглась критике из-за данного решения. Многие пользователи указывают на очевидное несоответствие: ранее Twitter месяцами и даже годами не предпринимала никаких действий для блокировки учетных записей известных хакерских групп, таких как Guccifer 2.0, TheDarkOverlord и так далее. К тому же, другие аккаунты, такие как WikiLeaks и многочисленные анонимы, давно распространяют данные, полученные в результате взломов, однако эти учетные записи активны по сей день.
Дамп BlueLeaks по-прежнему доступен на сайте DDoSecrets, однако пользователи более не могут делиться ссылками на него в Twitter, так как помимо запрета на учетную запись DDoSecrets социальная сеть также запретила и URL-адрес сайта активистов.
@NatSecGeek @bbhorne This is straight up bullshit. @TwitterSupport pic.twitter.com/I4nkH2oSDF
— Paulus Pärssinen (@ParssinenPaulus) June 23, 2020