728x90

Исследователь, знаменитый под псевдонимом Cipher0007, сказал на Reddit об существовании уязвимости на подпольной торговой площадке AlphaBay. Дилемма существовала капитальной и дозволяла читать индивидуальные сообщения юзеров. Таковая уязвимость критична для хоть какого ресурса, однако для веб-сайта, на котором ведут торговлю орудием, наркотиками, малварью, заданными банковских карт и настолько дальше, схожая дилемма и совсем фатальна.

Администрация AlphaBay перестала опровергать банальное и признала наличие бага, сообщив, чего взломщик имел доступ к 218 000 дичностных сообщений юзеров, отправленных за крайние 30 дней.

Операторы AlphaBay пишут, чего Cipher0007 отыскал гораздо одну уязвимость, позволявшую получить перечень любых юзернеймов веб-сайта и надлежащих им же ID. Наличие дилемм а также подтвердили и админы сабреддита DarkNetMarkets, которым исследователь в личном порядке предоставил подтверждения существования багов.

На подпольных торговых веб-сайтах, схожих AlphaBay, торговцы и покупатели, почаще всего, дискуссируют подробности сделок конкретно сквозь индивидуальные сообщения. Администрация AlphaBay  дозволяет юзерам использовать PGP-ключи и шифровать информацию о адресе доставки, биткоин-кошельках, трекинг-номерах и остальные секретные заданные. Но шифрованием и PGP-ключами пользуются закончить все, настолько чего отысканные Cipher0007 дилеммы все равно можно существовало задействовать для деанонимизации гостей.

В конечном итоге управление AlphaBay приняло решение выплатить Cipher0007 типичное bug bounty вознаграждение: исследователю заплатили неназванную сумму, дабы он истолковал, какие алгоритмы употреблял для доступа к индивидуальным сообщениям юзеров и для сбора них ID. В заправдашний момент уязвимости уже исправлены.

Необходимо отметить, чего это же закончить 1-ый схожий инцидент, связанный с AlphaBay. Сначала 2016 года создатели даркнет-площадки допустили ошибку: тогда-то в API добавили процедуру, которая дозволяет зарегистрированным юзерам веб-сайта, закончить входя в конструкцию, получить доступ к конкретной инфы со собственных аккаунтов. API AlphaBay дозволяет пациентам ресурса читать сообщения, писать новейшие, инспектировать собственный баланс, выводить деньги со счета, познавать об состоянии лотов и заказов. Однако по причине ошибки в коде нововведение а также дозволило юзерам читать индивидуальные сообщения друг дружку, чего увидели юзеры Reddit. Тогда-то утечка затронула образцово 13 500 сообщений, до этого чем дилемма существовала устранена.