[Информационная безопасность] Небольшое расследование расследования по делу хакера, взломавшего Twitter
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Наверное, все помнят, как около 2 недель назад были взломаны более 50 крупных Twitter-аккаунтов (Маска, Гейтса, Обамы, Apple и др).
Правоохранители задержали троих подозреваемых – 17-летнего Graham Clark и 22-летнего Nima Fazeli («Rolex») из Флориды, а также 19-летнего Mason Sheppard («Chaewon») из Великобритании.
Во всей этой истории меня заинтересовало то, как вычислили реальных персонажей, стоящих за этой атакой. А точнее одного персонажа Mason Sheppard с ником «Chaewon».
Перед атакой на Twitter, пользователь «Chaewon» разместил на форуме «OGUsers» объявление о продаже услуги замены адреса эл. почты для Twitter-аккаунтов.
К несчастью для хакеров, данный форум был взломан 31.03.2020 г. (и до этого в конце 2018 г.), а его дамп находится в паблике (я писал про это в Telegram-канале).
Об этом и пишет спецагент налоговой службы США Tigran Gambaryan (Тигран Гамбарян) в своем отчете (PDF).
В дампе форума для пользователя «Chaewon» был найден адрес эл. почты (kpopisepic51@gmail.com) и IP-адреса (79.66.149.155 и 82.132.236.55).
С одного из этих IP также зарегистрирован пользователь «mmm» (f77twitter@gmail.com). Судя по нашей информации пароль этого пользователя «Mason123». С точно таким же паролем на форуме находится пользователь «Ghoxl» (20fdisciplina@gmail.com). Кстати, у «Chaewon» в мессенджере Kik имя «MasyOGF», такое же, как и у «mmm, о чем оба пользователя сообщали на форуме сами.
И вот тут начинаются странности с отчетом спецагента Тиграна Гамбаряна. Он пишет про связь «Chaewon» с неким пользователем «Mas» (masonhppy@gmail.com) по IP-адресу на том же самом форуме «OGUsers». Однако, никакого «Mas» с адресом masonhppy@gmail.com там нет, а есть связанные «mmm» и «Ghoxl» (см. выше) и пользователь «mas» (poop987@protonmail.com).
Пользователь «Chaewon» действительно оставлял сообщение на форуме с текстом “IT IS MAS I AM MAS NOT BRY I AM MAS MAS MAS!@”, как пишет спецагент. Кстати, “BRY” это сокращение от “BRYSON”, пользователь «Bryson» заблокирован на данном форуме за мошенничество.
Если внимательно анализировать дамп форума, то видно, что 15.05.2019 пользователь «mas» сменил имя на «Chaewon», а спустя почти месяц 19.06.2019 имя «mas» занял пользователь «wasdwasd123».
Далее спецагент находит адрес masonhppy@gmail.com в базе «Coinbase» и видит там имя/фамилию «mason sheppard».
Тут тонкость в том, что адреса masonhppy@gmail.com нет ни в базе «OGUsers» (о чем я уже написал выше), ни в утечке паролей пользователей «Coinbase». Этот адрес не светился ни в одной другой утечке паролей, которые мы анализировали (чтобы вы понимали речь идет о более чем 30 миллиардах паролей, прошедших через нас за несколько лет).
Каким образом адрес masonhppy@gmail.com появился в расследовании мне установить не удалось.
Получается, что спецагент что-то не договаривает в своем отчете. Либо он имеет доступ к базе, информацию о которой не имеет права разглашать (например, доступ к базе «Coinbase» в режиме реального времени для поиска по IP), либо Mason Sheppard был найден по-другому (например, через запрос британскому провайдеру «TalkTalk Communications Limited» из чьей сети “сидел” хакер) и по какой-то причине это также не может быть разглашено. Тогда часть расследования просто пропущена в опубликованном отчете, с целью скрыть реальные способы деанона, которые используются спецслужбами. Возможно спецслужбы США просто притянули доказательства за известное место. Ну либо самый плохой вариант – взяли вообще не того.
Новости про утечки информации и инсайдеров всегда можно найти на Telegram-канале «Утечки информации».
===========
Источник:
habr.com
===========
Похожие новости:
- [IT-компании, Законодательство в IT, Информационная безопасность, Социальные сети и сообщества] Задержаны подростки, взломавшие Twitter
- [Информационная безопасность, Тестирование мобильных приложений] Kali Linux NetHunter на Android Ч.3: нарушение дистанции
- [Open source, Информационная безопасность, Учебный процесс в IT] 1000 и 1 способ обойти Safe Exam Browser
- [Информационная безопасность] Очень странные дела при подаче объявлений на ЦИАН
- [IT-компании, Информационная безопасность, Социальные сети и сообщества] Twitter усиливает меры безопасности после хакерской атаки
- [IT-инфраструктура, Информационная безопасность, Системное администрирование, Софт] Как InTrust может помочь снизить частоту неудачных попыток авторизаций через RDP
- [Информационная безопасность] Обзор проекта новой методики моделирования угроз безопасности информации
- [IT-эмиграция, Информационная безопасность, Образование за рубежом, Удалённая работа, Читальный зал] Почтовый агент. Ловушка для жены эмигранта
- [Big Data, Информационная безопасность, Исследования и прогнозы в IT, Хранение данных] Новый tech – новая этика. Исследование отношения людей к технологиям и приватности
- [Информационная безопасность, Программирование, Разработка под Linux] Побег из привилегированных Docker-контейнеров (перевод)
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_vzlom (взлом), #_osint, #_hakery (хакеры), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 21:44
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Наверное, все помнят, как около 2 недель назад были взломаны более 50 крупных Twitter-аккаунтов (Маска, Гейтса, Обамы, Apple и др). Правоохранители задержали троих подозреваемых – 17-летнего Graham Clark и 22-летнего Nima Fazeli («Rolex») из Флориды, а также 19-летнего Mason Sheppard («Chaewon») из Великобритании. Во всей этой истории меня заинтересовало то, как вычислили реальных персонажей, стоящих за этой атакой. А точнее одного персонажа Mason Sheppard с ником «Chaewon». Перед атакой на Twitter, пользователь «Chaewon» разместил на форуме «OGUsers» объявление о продаже услуги замены адреса эл. почты для Twitter-аккаунтов. К несчастью для хакеров, данный форум был взломан 31.03.2020 г. (и до этого в конце 2018 г.), а его дамп находится в паблике (я писал про это в Telegram-канале). Об этом и пишет спецагент налоговой службы США Tigran Gambaryan (Тигран Гамбарян) в своем отчете (PDF). В дампе форума для пользователя «Chaewon» был найден адрес эл. почты (kpopisepic51@gmail.com) и IP-адреса (79.66.149.155 и 82.132.236.55). С одного из этих IP также зарегистрирован пользователь «mmm» (f77twitter@gmail.com). Судя по нашей информации пароль этого пользователя «Mason123». С точно таким же паролем на форуме находится пользователь «Ghoxl» (20fdisciplina@gmail.com). Кстати, у «Chaewon» в мессенджере Kik имя «MasyOGF», такое же, как и у «mmm, о чем оба пользователя сообщали на форуме сами. И вот тут начинаются странности с отчетом спецагента Тиграна Гамбаряна. Он пишет про связь «Chaewon» с неким пользователем «Mas» (masonhppy@gmail.com) по IP-адресу на том же самом форуме «OGUsers». Однако, никакого «Mas» с адресом masonhppy@gmail.com там нет, а есть связанные «mmm» и «Ghoxl» (см. выше) и пользователь «mas» (poop987@protonmail.com). Пользователь «Chaewon» действительно оставлял сообщение на форуме с текстом “IT IS MAS I AM MAS NOT BRY I AM MAS MAS MAS!@”, как пишет спецагент. Кстати, “BRY” это сокращение от “BRYSON”, пользователь «Bryson» заблокирован на данном форуме за мошенничество. Если внимательно анализировать дамп форума, то видно, что 15.05.2019 пользователь «mas» сменил имя на «Chaewon», а спустя почти месяц 19.06.2019 имя «mas» занял пользователь «wasdwasd123». Далее спецагент находит адрес masonhppy@gmail.com в базе «Coinbase» и видит там имя/фамилию «mason sheppard». Тут тонкость в том, что адреса masonhppy@gmail.com нет ни в базе «OGUsers» (о чем я уже написал выше), ни в утечке паролей пользователей «Coinbase». Этот адрес не светился ни в одной другой утечке паролей, которые мы анализировали (чтобы вы понимали речь идет о более чем 30 миллиардах паролей, прошедших через нас за несколько лет). Каким образом адрес masonhppy@gmail.com появился в расследовании мне установить не удалось. Получается, что спецагент что-то не договаривает в своем отчете. Либо он имеет доступ к базе, информацию о которой не имеет права разглашать (например, доступ к базе «Coinbase» в режиме реального времени для поиска по IP), либо Mason Sheppard был найден по-другому (например, через запрос британскому провайдеру «TalkTalk Communications Limited» из чьей сети “сидел” хакер) и по какой-то причине это также не может быть разглашено. Тогда часть расследования просто пропущена в опубликованном отчете, с целью скрыть реальные способы деанона, которые используются спецслужбами. Возможно спецслужбы США просто притянули доказательства за известное место. Ну либо самый плохой вариант – взяли вообще не того. Новости про утечки информации и инсайдеров всегда можно найти на Telegram-канале «Утечки информации». =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 21:44
Часовой пояс: UTC + 5