Самопровозглашенный «форум для утечек и взломов», где пользователи рекламируют и обмениваются взломанными базами данных, похищенными учетными данными и пиратским ПО, случайно раскрывал IP-адреса вошедших в систему пользователей в открытый интернет. Об этом сообщили исследователи кибербезопасности.
Как установили специалисты компании UpGuard, форум Leak Zone оставил базу данных Elasticsearch доступной в сети без пароля. В блоге компании, который был предоставлен TechCrunch до публикации, исследователи указали, что обнаружили уязвимость 18 июля. Данные могли быть просмотрены любым пользователем через браузер.
В открытой базе содержалось более 22 млн записей с IP-адресами и точным временем входа пользователей на Leak Zone. Записи датировались вплоть до 25 июня, а база обновлялась в реальном времени.
Хотя записи не были напрямую привязаны к аккаунтам, эти данные позволяли идентифицировать пользователей, которые не использовали инструменты анонимизации (например, VPN). Некоторые записи, изученные TechCrunch, содержали отметки о подключении через прокси, что помогает скрыть реальное местоположение.
Leak Zone, набравший популярность в 2020 году, позиционирует себя как площадку с «огромной коллекцией утечек — от взломанных баз данных до скомпрометированных аккаунтов». На форуме также работает маркетплейс, открыто предлагающий «незаконные услуги», как указано в руководстве сайта. Согласно информации Leak Zone, аудитория форума превышает 109 000 пользователей.
По данным UpGuard, 95% записей в утекшей базе относились к входам на Leak Zone. Остальные данные касались аккаунтов AccountBot — другого сайта по продаже доступа к взломанным аккаунтам стриминговых сервисов.
TechCrunch проверил работу базы, создав новый аккаунт на Leak Zone. Сразу после входа в системе появилась запись с IP-адресом и точным временем авторизации.
Причина утечки не ясна. Чаще подобные инциденты происходят из-за ошибок в настройке, а не злого умысла.
TechCrunch не смог связаться с администрацией Leak Zone для комментариев: система форума заблокировала отправку сообщений. Неизвестно, знают ли администраторы об утечке или планируют уведомить пользователей.
UpGuard сообщила, что база данных больше не доступна в открытом доступе.
В последние годы власти США и других стран ужесточили борьбу с киберпреступными форумами, обвиняя их в содействии хакерским атакам, кражам личных данных и другим незаконным действиям. На этой неделе Europol сообщил о задержании предполагаемого администратора русскоязычного форума XSS.is, который был заблокирован в рамках спецоперации.