Грабим награбленное

в 12:30, , рубрики: информационная безопасность, файлообмен, метки: ,

Недавно решил проверить одну гипотезу. Результаты оправдали и превзошли ожидания.
Идея очень простая. Хакеры тоже люди и тоже используют файлобменники. Соответственно,
если порыбачить на тему паролей в открытом доступе, то скорее всего что-нибудь да попадется.
Как я уже говорил, кто ищет, тот всегда найдет. Подробности под катом.
Грабим награбленное


В качестве объекта для исследования я выбрал сайт http://slil.ru.
Он хорошо подходит по трем причинам:
— цифровые id в URL файла позволяют легко генерировать следующий и предыдущий файл.
— отсутствие возможности ставить пароли на уже загруженные файлы
— легкая система генерации полного URL для скачивания файла

Для получения наиболее актуальных данных будем идти с декрементированием от текущего id.
Для этого, в свою очередь, необходимо узнать последний на данный момент id.
Сделать это просто, надо загрузить любой тестовый файл и получить его id, он и будет последним на данный момент. Для автоматизации процесса рыбалки я написал небольшой скрипт, который доступен для скачивания на bitbucket.org
hg clone ssh://hg@bitbucket.org/0x90/shareleak

Скрипт достаточно простой и сохраняет все подряд в папку dump, сортируя по расширениям.
Также присутствует возможность задать список исключений в коде программы.
В первую очередь нам будут интересны, конечно же, текстовые файлы.
Запустил я скрипт ближе к утру и засел с кофе в напряженном ожидании большой рыбки.
Просматривая раз за разом папку dump, я обнаруживал все новые и новые персональные данные.

Итак улов:
— 700 000 пар логин: пароль для ящиков на mail.ru в архиве meyl.rar
— 20 кредитных карт с CVV, CVV2 и информацией о владельцах в файлах order.txt и order_16.txt
— более сотни пар UIN:PASS
— настройка и сертификаты для OpenVPN подключения к одной компании
— с десяток баз 1С разных компаний
— сканы паспортов, свидетельств о браке/смерти

Также набросал простенький скрипт для проверки почты на валидность. Он доступен там же.
Проверка 1000 пар логин пароль для mail.ru показала, что порядка 45 процентов валидно на данный момент.

На основе полученных результатов решил повторить эксперимент с http://rghost.ru
В отличии от http://slil.ru там можно устанавливать пароли на загруженные файлы, но это не сильно влияет на результат. Картина практически та же. Среди кучи хлама удалось найти следующее:
— 8 файлов с почтовыми аккаунтами по несколько тысяч в каждом
— 2 файла с аккаунтами для линейки
— множество конфигураций 1C

Любой желающий может повторить мой эксперимент, если конечно не пожалеет времени на разгребание кучи файлов. Код доступен по адресу https://bitbucket.org/0x90/shareleak/src
Буду рад коммитам и предложениям.

Вывод очень простой: дважды думайте, прежде чем доверить свои или чужие персональные данные серверами файлообмена.

Апдейт: предлагаю делиться ссылками на интересные файлы в комментариях.

Автор: 090h


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js