Xakep #305. Многошаговые SQL-инъекции
Хакерский форум Breach (BreachForums) закрылся после ареста его основателя и администратора, известного под ником Pompompurin. Оставшийся администратор сайта, Baphomet, сообщил, что правоохранительные органы могли получить доступ к серверам ресурса и машине Pompompurin’а, а значит, продолжать работу небезопасно.
Напомню, что в начале текущей недели американские правоохранительные органы сообщили об аресте жителя Нью-Йорка, который, как они считают, является владельцем и основателем хакерского форума BreachForums, и известен в сети как Pompompurin.
Согласно судебным документам, задержанному предъявлено обвинение в сговоре с целью склонения физических лиц к продаже устройств для несанкционированного доступа. Также сообщалось, что во время ареста подозреваемый признал перед агентами ФБР, что его настоящее имя Коннор Брайан Фитцпатрик (Conor Brian FitzPatric) и он является Pompompurin’ом, владельцем хак-форума Breach Forums.
В последнее время BreachForums был крупнейшим хак-форумом, посвященным утечкам данных, и обычно именно он использовался взломщиками и вымогателями для «слива» информации. Ресурс был запущен Pompompurin’ом в прошлом году, после того, как ФБР закрыло хакерский сайт RaidForums.
Лично Pompompurin и другие участники BreachForums связаны со множеством громких взломов и утечек данных, включая кражу данных миллионов пользователей Robinhood, утечку данные 5,4 млн пользователей Twitter, недавние атаки на Acer, Activision и так далее.
Сразу после ареста Pompompurin’а администраторы BreachForums уверяли, что даже в отсутствии основателя сайт продолжит работу в штатном режиме, так как админы имеют полный доступ к его инфраструктуре. Однако теперь ситуация изменилась.
Как сообщает Bleeping Computer, в последние дни оставшийся «за главного» администратор Baphomet опубликовал серию сообщений, в которых он заявлял, что отключает сайт и переносит его в новую инфраструктуру, защищенную от возможной компрометации со стороны правоохранительных органов.
Baphomet писал, что процесс миграции идет медленно, поскольку админы стараются соблюдать оперативную безопасность (opsec) и не хотят, чтобы их личности были раскрыты властями.
Первоначальный план заключался в том, чтобы перенести сайт в новую инфраструктуру, которую нельзя отследить, что позволило бы сообществу продолжать использование BreachForums. Но теперь Baphomet опубликовал «последнее обновление» и сообщил, что, по его данным, правоохранители, вероятно, уже получили доступ к машине Pompompurin’а.
Дело в том, что когда инфраструктура BreachForums была отключена, в сети остался старый CDN-сервер, на котором размещались не слишком важные данные.
«Во время миграции я проверял, не происходит ли чего-то подозрительного, что могло бы вызывать беспокойство, — пишет Baphomet. — Одним из проверенных мной серверов был старый наш сервер CDN, упомянутый выше. Похоже, кто-то входил в систему 19 марта, в 1:34 EST, до того, как на сервер вошел я.
К сожалению, это приводит нас к выводу, что, скорее всего, у кого-то есть доступ к машине Pom’a. Наши серверы никогда не используются кем-то еще, поэтому кто-то должен был знать учетные данные, чтобы иметь возможность войти в систему.
Теперь я чувствую, что оказался в ситуации, когда нельзя считать, что хоть что-то находится в безопасности, будь то наши конфигурации, исходный код или информация о наших пользователях — список бесконечен».
Опасаясь, что устройства Pompompurin’а теперь находятся под контролем правоохранительных органов, и у них есть доступ к инфраструктуре ресурса, Baphomet принял решение закрыть BreachForums окончательно, позволив членам сообщества самим выбирать, куда им двигаться дальше.
Журналисты отмечают, что Telegram-канал сайта пока работает, а Baphomet планирует обсудить с владельцами других хак-форумов потенциальную возможность создания чего-то нового.