Попередньо в мене підозра, що це контрольований злив даних, отриманих в рамках зламу KitSoft та його клієнтів (#attack13). Надто багато нестикувань між наданими продавцем семплами.
tl;dr: Чи достатньо легітимно виглядає семпл "злама Дії" щоб його захотілося купувати для подальшого аналізу? Ні.
На Даркнет-форумах регулярно з'являються так звані "зклейки" даних з раніше зламаних джерел, які видаються продавцями за справжні результати свіжих операцій. Свідчити про такий "розвод" можуть розбіжності в форматах даних, низька репутація продавців на форумах, низька ціна дампів тощо.
Наприклад, SQL-вибірка користувачів з "утєчкі з Дії" поки виглядає як шахрайство в Даркнеті. Занадто багато імен громадян України починаються на "ФОП" та інші нестикування в дрібницях.
Проте, "вихідний код Дії" виглядає як OctoberCMS, тобто можливо це веб-сайт Дії, який розробляв підрядник. Також, з параметрів конфігурації, таких як IP-адресація та налаштування сервісів, схоже, що це розробницька або тестова версія сайту.
API Дії як такої в семплі ніде немає. Це легко перевірити, бо відкрита частина API опублікована в рамках Bug Bounty програми Дії.
JSON-семпл виглядає більш легітимно. Я не дуже активний користувач Дії, але поєднання в одній структурі даних інформації про геть різні аспекти діяльності людини (підприємництво, банківські реквізити та сімейний стан) трохи напружує. Проте, структура документів неоднорідна: таке враження, що вони були експортовані з геть різних джерел. Можливо це дамп з Redis, який якраз використовується для кешування різнорідних даних. Але не виключаю факту підробки.
Висновок: поки що звучить як новини з минулого тижня, але цим дампом не можна нехтувати. Я сподіваюся, що Кіберполіція та аналітики загроз із усіх надцяти українських кіберцентрів вже займаються його розтином. Хотілося б почути офіційні позиції якнайшвидше. Але впевненості у правоті всепропальників у мене немає.
Першоджерело: https://www.facebook.com/100062932344411/posts/295287219245687/
Підписуйтесь на наш Telegram канал Enigma