Операторы популярного англоязычного маркетплейса Versus, запущенного в даркнете около трех лет назад, объявили о закрытии после обнаружения серьезного бага, который мог открыть доступ к его базе данных и раскрыть IP-адреса серверов.
Bleeping Computer рассказывает, что торговые площадки даркнета (а также их пользователи) всегда тщательно оберегают информацию о своих физических ресурсах, так как в противном случае их операторы рискуют быть обнаружены и арестованы. Поэтому, обнаружив ряд уязвимостей, операторы Versus решили объявить о закрытии маркетплейса, посчитав, что продолжать работу теперь было бы слишком рискованно.
Проблемы начались еще на прошлой неделе, когда на Dread опубликовали информацию о скверной безопасности торговой площадки, приложив PoC-экслпоит для Versus и информацию о том, как получить доступ к файловой системе сервера сайта.
После этого Versus отключился для аудита безопасности, и как пишут операторы сайта, они дважды проводили аудит и раньше, после подозрений о существовании серьезных проблем и даже реальных взломов. На этот раз после отключения пользователи забеспокоились о том, что операторы Versus пытаются устроить exit scam, а ФБР уже могло захватить сайт, но вскоре операторы площадки вернулись с официальным объявлениям, и сообщили о закрытии Versus:
«Не сомневаемся, что в последние дни возникло много беспокойства и неуверенности относительно Versus. Большинство из вас справедливо предположило, что наше молчание связано с тем, что мы стремились незаметно оценить реальность возможной уязвимости.
После тщательного изучения мы обнаружили уязвимость, которая позволяла получить доступ (только для чтения) к копии базы данных шестимесячной давности, а также потенциальную утечку IP-адреса одного сервера, которым мы пользовались менее 30 дней.
Мы очень серьезно относимся к любым уязвимостям, и считаем важным ответить на ряд претензий, которые были высказаны в наш адрес. Особенно важно: взлома серверов не было, и пользователям/продавцам не о чем беспокоиться, пока они используют стандартные и базовые методы opsec (например, шифрование PGP).
Как только мы обнаружили уязвимость, перед нами встал выбор: восстанавливаться и возвращаться, став еще сильнее (как мы делали раньше) или изящно отойти от дел. После долгих размышлений мы остановились на последнем. Мы построили Versus с нуля и проработали три года».
Сообщение заканчивается уведомлением для продавцов, которым обещают вскоре предоставить ссылку для завершения транзакций и вывода оставшихся на депозитах средств.
