Carders.cc hacked

Nemški spletni forum, namenjen izmenjavi in trgovanju ukradenih finančnih podatkov je nedavno sam postal tarča napada. Podatek v glavi zajete MySQL podatkovne baze kaže na datum 3. maj 2010, čeprav se je lahko prvotni vdor zgodil že pred tem. Nekoč varovani podatki o uporabnikih in vseh njihovih aktivnostih so se včeraj, 18. maja 2010, znašli na svetovnem spletu na različnih omrežjih za izmenjavo datotek.

Rezultat vdora so, kot kaže, vsaj 3 datoteke, ki so dostopne na spletnem mestu rapidshare.com, med katerimi je največja dump.sql.gz, ki vsebuje podatke celotnega foruma, vključno s seznamom vseh 4865 uporabnikov in celo njihovo medsebojno komunikacijo, ki se je v podatkovni bazi hranila v prostočitljivi obliki. Druga datoteka vsebuje seznam uporabnikov, njihove email naslove in mnoga (razbita?) gesla (gesla so se sicer hranila v kriptirani md5 obliki).

carderscc.png Zadnja, tretja datoteka, hrani IP naslov uporabnikov, ki je bil zabeležen ob njihovi registraciji na forumu in bežno pojasnilo, kako je bil forum komprimiran. Vrhnji del datoteke, ki ga spremlja ASCII art mačke, vsebuje napis owned and exposed (komprimiran in razkrit) in skupaj z napisom nad tem ISSUE - NO 1 spominja na glavo nekakšne premierne izdaje “e-zine” elektronske revije, ki so bile med hekerji pogoste v 80-tih in tudi še v 90-tih letih prejšnjega stoletja. V kazalu TABLE OF CONTENTS so navedeni elementi te “izdaje”, ki bežno povedo, da so razkrita med drugim gesla in IP naslovi.

Kot poroča anonimni napadalec je bil napad mogoč zaradi slabe varnosti sistema, natančneje zaradi neustreznih pravic datotek:

Many of you guys may have noticed this breeding German “underground” shit called carders.cc. For those who don’t: Carders is a marketplace full of everything that is illegal and bad. Carding, fraud, drugs, weapons and tons of kiddies. They used to be only a small forum, but after we erased 1337-crew they got more power. The rats left the sinking ship. The voices told us to own them since carders is our fault and we had to fix our flaw. So we did.

During the ownage they also gave us lulz by showing off their ridiculous configuration skills which had a specific impact on their security. They actually managed to chmod and chown nearly everything to 777 and www-user readable. Including their /root directory.

Čeprav sočutja s člani tega foruma ne moremo deliti, se moramo zadevati, da zajem podatkovne baze hrani ogromno število protizakonito pridobljenih podatkov nedolžnih žrtev. Kakorkoli že, to razkritje bo morda vsaj deloma pomagalo zaščititi tiste, ki do sedaj niti niso vedeli, da so bili tarča napadov. Ima pa takšno razkritje 2 plati. Podatki v zajemu podatkovne baze lahko pripomorejo k razkritju oseb, ki se ukvarjajo s prepovedano prodajo orožja, drog, finančnih podatkov in ostalo, vseeno pa lahko ogrozijo preiskave v teku, saj se lahko uporabniki foruma po javnem razkritju hitro umaknejo v ozadje in s tem onemogočijo morebitne preiskave proti njim, ki so že v teku.

Ref.: http://krebsonsecurity.com/2010/05/fraud-bazaar-carders-cc-hacked/

Comments 2

  1. denial wrote:

    Meni je najbolj smešno naslednje: podobne ilegalne serverje lahko kiddiji pwnajo kar od doma (brez uporabe proxijev) in brez bojazni, da jih bodo skrbniki prijavili. Kaj pa naj rečejo policiji? “V log datoteki imamo IP s katerega je bil kompromitiran naš forum preko katerega preprodajamo številke kreditnih kartic”, verjetno ni najbolj bistro. :D

    Objavljeno 21 May 2010 at 10:33 pm
  2. Gorazd wrote:

    Good point. Nekaj podobnega, kot ce bi mafiji ukradel plen - tudi ne bodo šli tega prijavit na policijo, ampak bodo sami uredili situacijo. Podobno bi bilo verjetno z lastniki teh strežnikov, sami bi poskušali najti krivca.

    Objavljeno 22 May 2010 at 8:28 am

Objavi komentar

Your email is never published nor shared.