Xakep #305. Многошаговые SQL-инъекции
Вчера Facebook, Instagram и WhatsApp не работали более пяти часов по всему миру. Причиной сбоя стала проблема с маршрутизацией BGP. В настоящее время все сервисы уже работают в штатном режиме.
На фоне проблем с доступом, по сети стали распространяться слухи о взломе и колоссальной утечке данных: якобы компанию взломали и в сеть слили информацию 1,5 млрд пользователей Facebook. Эта информация оказалась ложью.
Сбой
4 октября, примерно в 18 часов по московскому времени Facebook, Instagram и WhatsApp ушли в офлайн по всему миру. Приложения не работали, а браузеры отображали ошибку DNS при попытке подключения к сайтам. Попытка подключиться напрямую к DNS-серверам Facebook также оканчивалась неудачей.
Сначала казалось, что проблема связана с DNS, но позже выяснилось, что всё несколько хуже. Как поясняли специалисты, включая Джорджио Бонфиглио (Giorgio Bonfiglio), главу службы технической поддержки Amazon AWS, префиксы маршрутизации Facebook внезапно исчезли из таблиц маршрутизации BGP, что фактически сделало невозможным подключение к каким-либо службам, размещенным на этих IP-адресах.
A bunch of Facebook networks has just disappeared from the internet: pic.twitter.com/j07LrmAAdW
— Giorgio Bonfiglio (@g_bonfiglio) October 4, 2021
Как выяснилось позже, когда социальные сети заработали вновь, эксперты были полностью правы. Представители Facebook опубликовали официальный пресс-релиз, заявив, что сбой был вызван ошибкой при изменении конфигурации магистральных маршрутизаторов.
«Наши инженерные группы установили, что изменения в конфигурации на магистральных маршрутизаторах, которые координируют сетевой трафик между нашими центрами обработки данных, спровоцировали проблемы, которые прервали связь, — пишет Сантош Джанардхан (Santosh Janardhan), вице-президент по проектированию и инфраструктуре Facebook.— Это нарушение сетевого трафика оказало каскадное влияние на работу наших дата-центров, в результате чего наши услуги оказались недоступны».
Также сообщается, что проблемы с конфигурацией повлияли и на внутренние системы и инструменты компании, еще больше затруднив процесс диагностики и восстановления работы. Стоит сказать, что вчера многочисленные анонимные источники в СМИ и социальных сетях сообщали, что сотрудники Facebook не сумели оперативно попасть в собственные дата-центры и получить доступ к проблемному оборудованию, так как из-за сбоя в самой компании царил настоящий хаос.
NOT VERIFIED: Message below is allegedly from a FB employee reddit account who said BGP issues caused the downtime, but they are having trouble giving the right people access to resolve.
— BleepingComputer (@BleepinComputer) October 4, 2021
Image from @nixcraft, but having trouble accessing tweet for some reason. pic.twitter.com/GEI19rnkgt
Для лучшего понимания произошедшего издание Bleeping Computer, объясняло, что BGP (Border Gateway Protocol) — это протокол маршрутизации, на котором работает весь интернет, он позволяет устройствам с одной стороны мира подключаться к устройствам с другой, используя маршруты (префиксы).
«Чтобы облегчить понимание: протокол BGP похож на “почтовую систему” интернета, облегчая передачу трафика от одной (автономной) системы сетей к другой. Когда сеть хочет, чтобы ее видели в интернете, они должна сообщить свои маршруты или префиксы остальному миру, — рассказывал глава и основатель Bleeping Computer Лоренс Абрамс. — Если эти префиксы удалены, никто в интернете не знает, как подключиться к серверам [Facebook].
Поскольку Facebook настроила все свою организацию на использование доменного регистратора и DNS-серверов, размещенных на их собственном префиксе маршрутизации, когда префиксы были удалены, никто не мог подключиться к этим IP-адресам и службам, работающим на них».
Разработчики Facebook уже извинились за случившееся:
«Все, кого сегодня коснулись сбои в работе наших платформ: извините. Мы знаем, что миллиарды людей и предприятий по всему миру зависят от наших продуктов и услуг, и должны оставаться на связи. Мы ценим ваше терпение».
Интересные последствия
Павел Дуров сообщил, что на фоне глобального отключения Facebook, Instagram и WhatsApp аудитория Telegram увеличилась на 70 000 000 человек за один день. Дуров поприветствовал новых пользователей и пообещал, что Telegram не подведет, когда подводят другие.
По данным аналитиков Haystack, во время пятичасового сбоя существенно возросла активность разработчиков: число пул-реквестов увеличилось на 32%.
Фальшивая утечка
Во время глобального отключения Facebook и других сервисов компании, в сети возникла настоящая паника. Дело в том, что многие СМИ сообщили, что сбой возник не случайно, якобы компанию взломали, и теперь в даркнете продают личные данные полутора миллиардов пользователей социальной сети.
Огромный дамп (якобы размером 600 Тб), действительно недавно появившийся на форуме RAID, якобы содержит имена, email-адреса, номера телефонов, ID, данные о гендере и местонахождении пользователей.
Проблема в том, что этот дамп появился в продаже еще в конце сентября, а данные, судя по всему, были собраны при помощи скрапинга (то есть сбора и агрегации и без того открытых данных). Подобные БД появляются на черном рынке регулярно. Более того, как отмечает издание Vice Motherboard, другие участники хак-форума уже обвинили продавца в мошенничестве.
«Скамер. Отправляет только [выборку данных] 20 пользователей. Больше нет. Не принимает условное депонирование (модератор). Но он ждет, что вы поверите в [реальность] этих 20 образцов и отправите ему 5000 долларов. Вместо 1,5 миллиарда, я думаю, у него есть данные 150 пользователей для социальной инженерии», — пишет один из участников форума.
«Хахахаха 600 Тб бургерных селфи Марка Цукера :D», — смеется другой пользователь RAID.
Исследователи PrivacyAffairs сообщают, что пока продавец пытается отвергать эти обвинения и продолжает утверждать, что данные подлинные, однако веры этому мало, как отмечают многие исследователи и ИБ-журналисты.