TL;DR – دهها میلیون اعتبار بهدستآمده از لاگهای سرقت اطلاعات مملو از ب،زار در ماه گذشته در کانالهای تلگرام پست شد و از شرکتها برای حذف پاداشهای باگ به دلیل ارائه نادرست دادههای سرویسشان استفاده شد.
هر روز چند تلاش برای کلاهبرداری می کنید؟ امروز صبح با پیامک دیگری با ،وان «امتیاز خود را پس،ید» از خواب بیدار کردم، و احتمالاً امروز با «بانک من» تماس تلفنی دریافت خواهم کرد (ویرایش: نزدیک بودم، «آمازون پرایم» بود 🤷♂️) و آنها این کار را ن،د. حتی با S، در صندوق ورودی من به من کمک کنید. ما تا حد حساسیت زدایی بمباران شده ایم که به خودی خود خطرناک است زیرا خطر نادیده گرفتن ناخواسته چیزی را ایجاد می کند که توجه شما را می طلبد. که من را به ایمیلی که دیروز از اسکات هلم از URI Report دریافت کردم (افشای اطلاعات: سرویسی که مدتها در آن مش، بودهام و به آن توصیه کردهام) با ،وان “برنامه Bounty Bug – اعتبارنامه نشت PII بیش از 170” میرساند. اینطور شروع شد:
از طریق جمع آوری اطلاعات منبع باز، من مقدار زیادی از اطلاعات را کشف کرده ام “Report-uri.com” اطلاعات کاربری و اسناد حساس فاش شده و برای عموم قابل دسترسی است.
سپس فرستنده یک فایل متنی حاوی 197 خط آدرس ایمیل و رمز عبور کاربران اسکات پراید و شادی را پیوست کرد. خطوط اول شبیه این هستند (url:email:p،word):
لحظهای که او برای اولین بار این را دید چه لحظهای را تصور کنید. آیا ،ی خدمات او را به خطر انداخته است؟ آیا این دادههایی بود که مشتریانش به او سپرده بودند و اکنون در اینترنت شناور بودند؟ آیا او همان ،ی نیست که قرار است به دیگران در مورد امنیت برنامه آموزش دهد؟! ایمیل رفت:
تأثیر این آسیب پذیری شدید است و به طور بالقوه منجر به موارد زیر می شود:
تصرف انبوه حساب کاربری توسط بازیگران م،ب.
افشای اطلاعات حساس کاربر از جمله نام، آدرس ایمیل، آدرس و اسناد.
تراکنش های غیرمجاز یا فعالیت های م،ب با استفاده از حساب های در معرض خطر.
به خطر انداختن بیشتر زیرساخت های نظارتی از طریق سوء استفاده از حساب.
خسارت مالی و اعتباری ناشی از نقض امنیت.
فقط برای جلوگیری از هرگونه شبهه در مورد انگیزه فرستنده، موضوع با گزارش تمایل به جایزه باگ آغاز شد (گزارش URI یک برنامه جایزه را تبلیغ نمی کند، اما به وضوح در جستجوی جایزه بود)، و سپس ایمیلی که بیان می کرد این یک مشکل مربوط به داده ها بود. تصویب گزارش URI فاش شده نشان داد که “این آسیب پذیری جدی است.” سپس خط پای، در مورد آسیب مالی و آسیب شهرت وجود دارد. بد به نظر می رسید. با این حال، همه چیز آرام شد، و ما شروع کردیم به بررسی دقیقتر آدرسهای ایمیل در “هک” با بررسی آنها در برابر Have I Been Pwned. خیلی سریع الگویی ظاهر شد:
بیشتر آدرسهایی که ما بررسی کردیم در لیستهای ارسال شده در تلگرام که من دو ماه قبل در HIBP آپلود کرده بودم ظاهر شد. اینها سوابق دزدیده شده بودند، نه نقض URI! برای تایید این ادعا، منبع داده اصلی را برداشتم و هر خط حاوی “report-uri.com” را تجزیه و تحلیل کردم. برای اطمینان، خطوط فایل ارسال شده به اسکات معمولاً در فایلهای گزارش سرقت یافت میشوند. بنابراین، بیایید در مورد نحوه کار این کار صحبت کنیم:
نش، اینترنتی را که در ابتدای هر سطر قبلاً دیدید، که لینک صفحه ثبت نام است، بردارید. در اینجا به نظر می رسد:
حال تصور کنید که در حال پر ، این فرم هستید و دستگاه شما به ب،زار آلوده شده است که می تواند داده های وارد شده در هر فیلد را نظارت کند. این دادهها را میگیرد، آنها را میدزدد و روی سرور مهاجم ثبت میکند، از این رو اصطلاح “دزد گزارش”. اسکات مطلقاً هیچ کاری نمی تواند برای جلوگیری از این امر انجام دهد. دستگاه کاربر در معرض خطر است، نه گزارش URI
برای نشان دادن این نکته، اولین آدرس ایمیل فایلی را که اسکات فرستاده بود گرفتم و ردیف ها را کشیدم. فقط برای این آدرس به جای فقط ردیف های گزارش URI. این به ما نشان می دهد که سایر خدماتی که اعتبارنامه این شخص از آنها ربوده شده است و ده ها مورد از آنها وجود داشته است. در اینجا فقط ده مورد برتر آورده شده است:
گوگل. سیب توییتر ا،ر آنها نیز از رمز عبور مشابهی استفاده می کنند، زیرا واضح است که افراد معمولی آن آدرس ایمیل را دارند. آیا هرکدام از این سازمان ها برای گدایی جایزه هم گرفتند؟ نه، این یک اشتباه تایپی نیست، این یک رفتار ک،یک است که در آن «محققان امنیتی» نامحسوس و خودخوانده از ابزارهای خودکار برای شناسایی پیکربندیهای امنیتی تا حد زیادی بدخیم استفاده میکنند که میتوانند به ،وان آسیبپذیری تفسیر شوند. برای مثال، آنها گزارشی ارسال میکنند مبنی بر اینکه رکورد SPF شما خیلی ضعیف است (احتمالاً حتی نمیتوانند “SPF” را بنویسند، چه رسد به اینکه تفاوتهای ظریف خطمشیهای فرستنده را درک کنند) و سپس سعی میکنند افرادی مانند اسکات را از آنها دور کنند. پول تحت ،وان “پاداش اشکال”. این مشکل اسکات نیست، مشکل گوگل، اپل یا توییتر نیست، مشکلی است که فقط قرب، آلوده به ب،زار می تواند به آن رسیدگی کند.
در این پست، من به “بیشتر” آدرس هایی که قبلاً در HIBP هستند اشاره کردم و خطوطی از فایل ارسال شده که “معمولا” در سوابق من وجود دارد. اما شکاف هایی وجود داشت. به ،وان مثال، در حالی که 197 ردیف در فایل “its” وجود داشت، من فقط 161 ردیف در داده هایی که قبلا بارگذاری کرده بودم پیدا کردم. اما من شهودی داشتم که چگونه این شکاف را پر کنم و تفاوت را جبران کنم…
دو هفته پیش، 22 گیگابایت سوابق سرقت دیگر در کانال های تلگرامی ارسال شد. برخلاف مجموعه داده قبلی، این مجموعه شامل … فقط سیاهههای مربوط به سرقت (بدون لیست پر ، اعتبار) و در مجموع 26105473 آدرس ایمیل منحصر به فرد داشت. این مهم است، زیرا به این م،ی است که هر یک از این آدرسها متعلق به شخصی است که به ب،زار آلوده شده است که دادههای آنها را میدزدد. از مجموع تعداد، 89.7٪ از نقض داده های قبلی در HIBP که یک تقاطع بالا است، مشاهده شده است، اما این بدان م،است که 2,679,550 آدرس همگی جدید بوده اند. داشتم به این فکر میکردم که آیا آپلود این دادهها منطقی است یا نه، زیرا ،یبهایی از این دست وقتی مردم نمیدانند تاریخچهشان از کدام سایت گرفته شده است یا رمز عبور تحت تأثیر قرار گرفته است، ناامیدی ایجاد میکند. یکی از ناراحتیهایی که در نظرات پست قبلی خواهید خواند این بود که افراد مطمئن نبودند آدرس ایمیل آنها در گزارش سرقت یا در لیست پر ، اعتبارنامه باشد. آیا آنها دستگاهی داشتند که به ب،زار آلوده شده بود یا فقط اعتبارنامههای مربوط به نقض اطلاعات قدیمی را بازیافت کرده بودند؟ اما با توجه به نحوه استفاده از این مجموعه جدید داده ها (فرض می شود برای فریب دادن اسکات و بسیاری دیگر)، تعداد 7 رقمی آدرس های قبلی دیده نشده و این واقعیت که این بار، همه آنها می توانند با اطمینان دوباره به هم مرتبط شوند. سایرین به کمپینهای ب،زار مرتبط شدهاند و اکنون میتوانند در HIBP به،وان «گزارشهای سرقت ارسال شده در تلگرام» جستجو شوند.
در پایان، این فقط یک کلاهبرداری بیش از یک کلاهبرداری است: اعتبار قرب،ان در سیاههها جعل شده است، و شخصی که به اسکات ایمیل ارسال کرده است سعی کرده از آن برای کلاهبرداری از او استفاده کند. جستجوی دادههایی مانند این در HIBP به افراد کمک میکند دقیقاً همان کاری را که من انجام دادم را به محض اینکه اسکات به من ایمیل کرد انجام دهند: اعتبار اصلی را تأیید کنید و همانطور که اسکات اکنون انجام میدهد، یک پاسخ مختصر بفرستید و آن مرد را تشویق کند تا کمی نجابت نشان دهد و از التماس ، دست بردارد. چیزهای خوب
در نهایت، به طور فزاینده ای متوجه می شوم که اطلاعات یافت شده در گزارش های سرقت چقدر می تواند برای سازمان هایی مانند گزارش URI مفید باشد، و پس از دانلود مجموعه قبلی ارسال شده از تلگرام، به چند شرکتی که فکر می کردم ممکن است توسط آن آسیب دیده باشند، کمک کرده ام. موقعیتی که آنها از آن میآمدند این بود: «ما مدام شاهد تصاحب حسابها از طریق حملاتی مانند حملات پر ، اعتبار هستیم، اما مهاجمان اعتبارنامهها را درست دریافت میکنند». اولین بار“. هنگامی که من داده ها را برای دامنه آنها است،اج کردم، همانطور که بعداً در گزارش URI انجام دادم، آدرس های ایمیل دقیقاً همان هایی بودند که برای تصاحب حساب مورد نظر قرار گرفته بودند. من می خواهم این را از طریق HIBP پردازش کنم، اما به دلایلی بی اهمیت نیست، به خصوص موارد مرتبط با حریم خصوصی، برای اینکه این داده ها برای شرکت هایی مانند Report URI مفید باشد، باید آن را در اختیار آنها قرار دهم. آدرس ایمیل دیگران (رمز عبور لازم نخواهد بود) بر اساس این فرض که آنها مشتریان سرویس هستند. من در حال کار بر روی نحوه انجام این کار به روشی هستم که برای همه منطقی باشد (خوب، همه به جز افراد بد)، منتظر اطلاعات بیشتر باشید و اگر ایده ای در مورد چگونگی تبدیل این سرویس به یک سرویس مفید دارید، لطفاً از طریق نظرات به اشتراک بگذارید.
URI گزارش Pwned شده است
منبع: https://www.troy،t.com/begging-for-bounties-and-more-info-stealer-logs/