التماس برای جوایز و اطلاعات بیشتر یک دزد را ثبت می کند

التماس برای جوایز و اطلاعات بیشتر یک دزد را ثبت می کند

TL;DR – ده‌ها میلیون اعتبار به‌دست‌آمده از لاگ‌های سرقت اطلاعات مملو از ب،زار در ماه گذشته در کانال‌های تلگرام پست شد و از شرکت‌ها برای حذف پاداش‌های باگ به دلیل ارائه نادرست داده‌های سرویس‌شان استفاده شد.

هر روز چند تلاش برای کلاهبرداری می کنید؟ امروز صبح با پیامک دیگری با ،وان «امتیاز خود را پس‌،ید» از خواب بیدار کردم، و احتمالاً امروز با «بانک من» تماس تلفنی دریافت خواهم کرد (ویرایش: نزدیک بودم، «آمازون پرایم» بود 🤷‍♂️) و آن‌ها این کار را ن،د. حتی با S، در صندوق ورودی من به من کمک کنید. ما تا حد حساسیت زدایی بمباران شده ایم که به خودی خود خطرناک است زیرا خطر نادیده گرفتن ناخواسته چیزی را ایجاد می کند که توجه شما را می طلبد. که من را به ایمیلی که دیروز از اسکات هلم از URI Report دریافت کردم (افشای اطلاعات: سرویسی که مدت‌ها در آن مش، بوده‌ام و به آن توصیه کرده‌ام) با ،وان “برنامه Bounty Bug – اعتبارنامه نشت PII بیش از 170” می‌رساند. اینطور شروع شد:

از طریق جمع آوری اطلاعات منبع باز، من مقدار زیادی از اطلاعات را کشف کرده امReport-uri.comاطلاعات کاربری و اسناد حساس فاش شده و برای عموم قابل دسترسی است.

سپس فرستنده یک فایل متنی حاوی 197 خط آدرس ایمیل و رمز عبور کاربران اسکات پراید و شادی را پیوست کرد. خطوط اول شبیه این هستند (url:email:p،word):

لحظه‌ای که او برای اولین بار این را دید چه لحظه‌ای را تصور کنید. آیا ،ی خدمات او را به خطر انداخته است؟ آیا این داده‌هایی بود که مشتریانش به او سپرده بودند و اکنون در اینترنت شناور بودند؟ آیا او همان ،ی نیست که قرار است به دیگران در مورد امنیت برنامه آموزش دهد؟! ایمیل رفت:

تأثیر این آسیب پذیری شدید است و به طور بالقوه منجر به موارد زیر می شود:
تصرف انبوه حساب کاربری توسط بازیگران م،ب.
افشای اطلاعات حساس کاربر از جمله نام، آدرس ایمیل، آدرس و اسناد.
تراکنش های غیرمجاز یا فعالیت های م،ب با استفاده از حساب های در معرض خطر.
به خطر انداختن بیشتر زیرساخت های نظارتی از طریق سوء استفاده از حساب.
خسارت مالی و اعتباری ناشی از نقض امنیت.

فقط برای جلوگیری از هرگونه شبهه در مورد انگیزه فرستنده، موضوع با گزارش تمایل به جایزه باگ آغاز شد (گزارش URI یک برنامه جایزه را تبلیغ نمی کند، اما به وضوح در جستجوی جایزه بود)، و سپس ایمیلی که بیان می کرد این یک مشکل مربوط به داده ها بود. تصویب گزارش URI فاش شده نشان داد که “این آسیب پذیری جدی است.” سپس خط پای، در مورد آسیب مالی و آسیب شهرت وجود دارد. بد به نظر می رسید. با این حال، همه چیز آرام شد، و ما شروع کردیم به بررسی دقیق‌تر آدرس‌های ایمیل در “هک” با بررسی آنها در برابر Have I Been Pwned. خیلی سریع الگویی ظاهر شد:

بیشتر آدرس‌هایی که ما بررسی کردیم در لیست‌های ارسال شده در تلگرام که من دو ماه قبل در HIBP آپلود کرده بودم ظاهر شد. اینها سوابق دزدیده شده بودند، نه نقض URI! برای تایید این ادعا، منبع داده اصلی را برداشتم و هر خط حاوی “report-uri.com” را تجزیه و تحلیل کردم. برای اطمینان، خطوط فایل ارسال شده به اسکات معمولاً در فایل‌های گزارش سرقت یافت می‌شوند. بنابراین، بیایید در مورد نحوه کار این کار صحبت کنیم:

نش، اینترنتی را که در ابتدای هر سطر قبلاً دیدید، که لینک صفحه ثبت نام است، بردارید. در اینجا به نظر می رسد:

حال تصور کنید که در حال پر ، این فرم هستید و دستگاه شما به ب،زار آلوده شده است که می تواند داده های وارد شده در هر فیلد را نظارت کند. این داده‌ها را می‌گیرد، آن‌ها را می‌دزدد و روی سرور مهاجم ثبت می‌کند، از این رو اصطلاح “دزد گزارش”. اسکات مطلقاً هیچ کاری نمی تواند برای جلوگیری از این امر انجام دهد. دستگاه کاربر در معرض خطر است، نه گزارش URI

برای نشان دادن این نکته، اولین آدرس ایمیل فایلی را که اسکات فرستاده بود گرفتم و ردیف ها را کشیدم. فقط برای این آدرس به جای فقط ردیف های گزارش URI. این به ما نشان می دهد که سایر خدماتی که اعتبارنامه این شخص از آنها ربوده شده است و ده ها مورد از آنها وجود داشته است. در اینجا فقط ده مورد برتر آورده شده است:

گوگل. سیب توییتر ا،ر آنها نیز از رمز عبور مشابهی استفاده می کنند، زیرا واضح است که افراد معمولی آن آدرس ایمیل را دارند. آیا هرکدام از این سازمان ها برای گدایی جایزه هم گرفتند؟ نه، این یک اشتباه تایپی نیست، این یک رفتار ک،یک است که در آن «محققان امنیتی» نامحسوس و خودخوانده از ابزارهای خودکار برای شناسایی پیکربندی‌های امنیتی تا حد زیادی بدخیم استفاده می‌کنند که می‌توانند به ،وان آسیب‌پذیری تفسیر شوند. برای مثال، آنها گزارشی ارسال می‌کنند مبنی بر اینکه رکورد SPF شما خیلی ضعیف است (احتمالاً حتی نمی‌توانند “SPF” را بنویسند، چه رسد به اینکه تفاوت‌های ظریف خط‌مشی‌های فرستنده را درک کنند) و سپس سعی می‌کنند افرادی مانند اسکات را از آنها دور کنند. پول تحت ،وان “پاداش اشکال”. این مشکل اسکات نیست، مشکل گوگل، اپل یا توییتر نیست، مشکلی است که فقط قرب، آلوده به ب،زار می تواند به آن رسیدگی کند.

در این پست، من به “بیشتر” آدرس هایی که قبلاً در HIBP هستند اشاره کردم و خطوطی از فایل ارسال شده که “معمولا” در سوابق من وجود دارد. اما شکاف هایی وجود داشت. به ،وان مثال، در حالی که 197 ردیف در فایل “its” وجود داشت، من فقط 161 ردیف در داده هایی که قبلا بارگذاری کرده بودم پیدا کردم. اما من شهودی داشتم که چگونه این شکاف را پر کنم و تفاوت را جبران کنم…

دو هفته پیش، 22 گیگابایت سوابق سرقت دیگر در کانال های تلگرامی ارسال شد. برخلاف مجموعه داده قبلی، این مجموعه شامل … فقط سیاهههای مربوط به سرقت (بدون لیست پر ، اعتبار) و در مجموع 26105473 آدرس ایمیل منحصر به فرد داشت. این مهم است، زیرا به این م،ی است که هر یک از این آدرس‌ها متعلق به شخصی است که به ب،زار آلوده شده است که داده‌های آنها را می‌دزدد. از مجموع تعداد، 89.7٪ از نقض داده های قبلی در HIBP که یک تقاطع بالا است، مشاهده شده است، اما این بدان م،است که 2,679,550 آدرس همگی جدید بوده اند. داشتم به این فکر می‌کردم که آیا آپلود این داده‌ها منطقی است یا نه، زیرا ،یب‌هایی از این دست وقتی مردم نمی‌دانند تاریخچه‌شان از کدام سایت گرفته شده است یا رمز عبور تحت تأثیر قرار گرفته است، ناامیدی ایجاد می‌کند. یکی از ناراحتی‌هایی که در نظرات پست قبلی خواهید خواند این بود که افراد مطمئن نبودند آدرس ایمیل آنها در گزارش سرقت یا در لیست پر ، اعتبارنامه باشد. آیا آن‌ها دستگاهی داشتند که به ب،زار آلوده شده بود یا فقط اعتبارنامه‌های مربوط به نقض اطلاعات قدیمی را بازیافت کرده بودند؟ اما با توجه به نحوه استفاده از این مجموعه جدید داده ها (فرض می شود برای فریب دادن اسکات و بسیاری دیگر)، تعداد 7 رقمی آدرس های قبلی دیده نشده و این واقعیت که این بار، همه آنها می توانند با اطمینان دوباره به هم مرتبط شوند. سایرین به کمپین‌های ب،زار مرتبط شده‌اند و اکنون می‌توانند در HIBP به‌،وان «گزارش‌های سرقت ارسال شده در تلگرام» جستجو شوند.

در پایان، این فقط یک کلاهبرداری بیش از یک کلاهبرداری است: اعتبار قرب،ان در سیاهه‌ها جعل شده است، و شخصی که به اسکات ایمیل ارسال کرده است سعی کرده از آن برای کلاهبرداری از او استفاده کند. جستجوی داده‌هایی مانند این در HIBP به افراد کمک می‌کند دقیقاً همان کاری را که من انجام دادم را به محض اینکه اسکات به من ایمیل کرد انجام دهند: اعتبار اصلی را تأیید کنید و همانطور که اسکات اکنون انجام می‌دهد، یک پاسخ مختصر بفرستید و آن مرد را تشویق کند تا کمی نجابت نشان دهد و از التماس ، دست بردارد. چیزهای خوب

در نهایت، به طور فزاینده ای متوجه می شوم که اطلاعات یافت شده در گزارش های سرقت چقدر می تواند برای سازمان هایی مانند گزارش URI مفید باشد، و پس از دانلود مجموعه قبلی ارسال شده از تلگرام، به چند شرکتی که فکر می کردم ممکن است توسط آن آسیب دیده باشند، کمک کرده ام. موقعیتی که آن‌ها از آن می‌آمدند این بود: «ما مدام شاهد تصاحب حساب‌ها از طریق حملاتی مانند حملات پر ، اعتبار هستیم، اما مهاجمان اعتبارنامه‌ها را درست دریافت می‌کنند». اولین بار“. هنگامی که من داده ها را برای دامنه آنها است،اج کردم، همانطور که بعداً در گزارش URI انجام دادم، آدرس های ایمیل دقیقاً همان هایی بودند که برای تصاحب حساب مورد نظر قرار گرفته بودند. من می خواهم این را از طریق HIBP پردازش کنم، اما به دلایلی بی اهمیت نیست، به خصوص موارد مرتبط با حریم خصوصی، برای اینکه این داده ها برای شرکت هایی مانند Report URI مفید باشد، باید آن را در اختیار آنها قرار دهم. آدرس ایمیل دیگران (رمز عبور لازم نخواهد بود) بر اساس این فرض که آنها مشتریان سرویس هستند. من در حال کار بر روی نحوه انجام این کار به روشی هستم که برای همه منطقی باشد (خوب، همه به جز افراد بد)، منتظر اطلاعات بیشتر باشید و اگر ایده ای در مورد چگونگی تبدیل این سرویس به یک سرویس مفید دارید، لطفاً از طریق نظرات به اشتراک بگذارید.

URI گزارش Pwned شده است

منبع: https://www.troy،t.com/begging-for-bounties-and-more-info-stealer-logs/