Хакеры, связанные с коллективом хактивистов Anonymous, говорят, что они утекли гигабайты данных из Epik, веб-хостинга и регистратора доменов, который предоставляет услуги ультраправым сайтам, таким как Gab, Parler и 8chan, которые нашли убежище в Epik после того, как их загрузили с основных платформ.
В заявление В приложении к торрент-файлу сброшенных данных на этой неделе группа сообщила, что 180 гигабайт составляют «десятилетнюю ценность» данных компании, включая «все, что необходимо для отслеживания фактического владения и управления» компанией. Группа утверждала, что у нее есть истории платежей клиентов, покупки и передачи доменов, а также пароли, учетные данные и почтовые ящики сотрудников. Кэш украденных данных также содержит файлы с внутренних веб-серверов компании и базы данных, содержащие записи о клиентах для доменов, зарегистрированных в Epik.
Хакеры не сообщили, как они получили взломанные данные или когда произошло взлом, но отметки времени в самых последних файлах предполагают, что взлом, вероятно, произошел в конце февраля.
Первоначально Epik сообщила журналистам, что не знала о нарушении, но электронное письмо отправлено основатель и исполнительный директор Роберт Монстр в среду предупредил пользователей о «предполагаемом инциденте безопасности».
С тех пор TechCrunch узнал, что Epik был предупрежден о критической уязвимости системы безопасности за несколько недель до взлома.
Исследователь безопасности Корбен Лео связался с главным исполнительным директором Epik Monster через LinkedIn в январе по поводу уязвимости системы безопасности на веб-сайте веб-хостинга. Лео спросил, есть ли у компании награда за обнаружение ошибок или способ сообщить об уязвимости. LinkedIn показал, что Monster прочитал сообщение, но не ответил.
Лео сообщил TechCrunch, что библиотека, используемая на странице WHOIS Epik для создания отчетов в формате PDF о записях общедоступного домена, имеет уязвимость десятилетней давности, которая позволяет любому удаленно запускать код непосредственно на внутреннем сервере без какой-либо аутентификации, такой как пароль компании.
«Вы можете просто вставить это [line of code] там и выполнять любую команду на своих серверах », – сказал Лео TechCrunch.
Лео выполнил команду доказательства концепции с общедоступной страницы WHOIS, чтобы попросить сервер отобразить свое имя пользователя, что подтвердило, что код может работать на внутреннем сервере Epik, но он не тестировал, чтобы увидеть, какой доступ имеет сервер, как это делает. так было бы незаконно.
Неизвестно, использовали ли анонимные хактивисты ту же уязвимость, которую обнаружил Лео. (Часть украденного кеша также включает папки, относящиеся к системе WHOIS Epik, но хактивисты не оставили контактной информации, и с ними нельзя было связаться для комментариев.) Но Лео утверждает, что если хакер воспользуется той же уязвимостью, и сервер получит доступ к другим серверам , базы данных или системы в сети, этот доступ мог позволить получить доступ к данным, украденным из внутренней сети Epik в феврале.
«Я действительно предполагаю, что именно так они и попали в руки», – сказал Лео TechCrunch, который подтвердил, что с тех пор недостаток был исправлен.
Monster подтвердил, что получил сообщение Лео в LinkedIn, но не ответил на наши вопросы о взломе и не сказал, когда уязвимость была исправлена. «Мы получаем охотников за головами, предлагающих свои услуги. Я, наверное, просто подумал, что это один из таких, – сказал Монстр. «Я не уверен, что действовал. Вы отвечаете на все свои спамы в LinkedIn? »