Enigma Enigma

Артур Коваленко

2022-01-24 08:59:31 eye-2 3252   — comment 0

Попередньо в мене підозра, що це контрольований злив даних, отриманих в рамках зламу KitSoft та його клієнтів

Попередньо в мене підозра, що це контрольований злив даних, отриманих в рамках зламу KitSoft та його клієнтів (#attack13). Надто багато нестикувань між наданими продавцем семплами.

tl;dr: Чи достатньо легітимно виглядає семпл "злама Дії" щоб його захотілося купувати для подальшого аналізу? Ні. 

На Даркнет-форумах регулярно з'являються так звані "зклейки" даних з раніше зламаних джерел, які видаються продавцями за справжні результати свіжих операцій. Свідчити про такий "розвод" можуть розбіжності в форматах даних, низька репутація продавців на форумах, низька ціна дампів тощо.

Наприклад, SQL-вибірка користувачів з "утєчкі з Дії" поки виглядає як шахрайство в Даркнеті. Занадто багато імен громадян України починаються на "ФОП" та інші нестикування в дрібницях. 

Проте, "вихідний код Дії" виглядає як OctoberCMS, тобто можливо це веб-сайт Дії, який розробляв підрядник. Також, з параметрів конфігурації, таких як IP-адресація та налаштування сервісів, схоже, що це розробницька або тестова версія сайту.

API Дії як такої в семплі ніде немає. Це легко перевірити, бо відкрита частина API опублікована в рамках Bug Bounty програми Дії.

JSON-семпл виглядає більш легітимно. Я не дуже активний користувач Дії, але поєднання в одній структурі даних інформації про геть різні аспекти діяльності людини (підприємництво, банківські реквізити та сімейний стан) трохи напружує. Проте, структура документів неоднорідна: таке враження, що вони були експортовані з геть різних джерел. Можливо це дамп з Redis, який якраз використовується для кешування різнорідних даних. Але не виключаю факту підробки.

Висновок: поки що звучить як новини з минулого тижня, але цим дампом не можна нехтувати. Я сподіваюся, що Кіберполіція та аналітики загроз із усіх надцяти українських кіберцентрів вже займаються його розтином. Хотілося б почути офіційні позиції якнайшвидше. Але впевненості у правоті всепропальників у мене немає.

Першоджерело: https://www.facebook.com/100062932344411/posts/295287219245687/

Підписуйтесь на наш Telegram канал Enigma