Imageshack был взломан... три года назад?

2012-11-05T16:54:12+07:00

Только что наткнулся на презабавнейший файлик (кодировка Юникод, может понадобиться сменить шрифт): http://pastebin.com/raw.php?i=jhLt7s83 http://empathy.hardchats.org/htp4/HTP-4.txt

Краткое содержание: группа хакеров HTP годами держала под контролем известный картинкообменник Imageshack.us, и наконец решила похвастаться.

В этом текстовом файлике на три мегабайта есть всё. Полная база данных пользователей. Все личные данные владельцев сервиса и их родственников. Конфигурация серверов. Полный дамп всех баз данных и списки файлов на серверах (в прилагаемых к тексту архивах лежат и сами файлы). Исходный код самого Imageshack (редкостная дрянь на PHP). Этот большой пирог сдобрен цитатами из IRC чатов и лозунгами “MESS WITH THE BEST — DIE LIKE THE REST” и “Hackers of the World, Unite!”

Вот такой цирк с конями, который завалил дерьмом всех, кто хотя бы отдалённо был связан с сервисом — не в последнюю очередь компанию Symantec (на сервере стояло много защит от взлома, но эту компанию хакеры просто “любят” больше других). Естественно, возникает логичный вопрос: как такой скандал мог вообще получиться? Разве крупные популярные ресурсы не заботятся о своей безопасности?

Конечно, это так. Впервые Imageshack был взломан в 2009 году группой Antisec; именно тогда владелец ресурса перенастроил сервер и купил несколько firewall’ов. К сожалению, он на этом и успокоился. До сих пор сервис крутится на ядрах 2008го года и старше, nginx 1.0.3 (это легко проверить), в php включен register_globals,а все базы MySQL запускаются от root.

Поэтому, как утверждают HTP, они смогли получить контроль над всеми серверами и роутерами сервиса - и держали его в течение нескольких лет.

Через сервис не распространялись вирусы, поэтому на него не обращали внимания антивирусные компании. Защитные экраны спокойно работали, не находя ничего подозрительного в действиях своих администраторов. Сервис рос и привлекал новых пользователей, которые спокойно регистрировались и вводили информацию о себе…

Вся эта грязная история (которая с подробностями приводится по указанным адресам на сетевом неалбанском) подводит к очень простой морали (кроме очевидного вывода, что никакой супер-антихакерский экран не заменит хорошего администратора).

Веб-сервис — это всегда чёрный ящик. Пользуясь веб-сервисом, вы безоговорочно доверяетесь людям, которые его строили и людям, которые им управляют. Сервисы с открытым исходным кодом позволяют проверить надёжность того, как они построены (что просто замечательно), но доказательства надёжности самих серверов никто не даст. Поэтому не пользуйтесь паролем qwe123asd на всех сайтах :-)