Veliko kršenje kibernetičke sigurnosti otkrilo je aktivnosti pregledanje korisnika koji posjećuju jedno od najozloglašenijih ilegalnih tržišta na internetu.
U petak, 18. jula, firma za sajber sigurnost UpGuard otkrila je nezaštićenu bazu podataka Elasticsearch-a koja sadrži približno 22 miliona zapisa web zahtjeva, pri čemu je 95% prometa usmjereno na leakzone[.]net, istaknuti “forum za curenje i krekovanje” koji olakšava distribuciju alata za hakovanje, eksploita i kompromitovanih računa.
Svaki unos u bazi podataka sadržavao je ključne korisničke informacije, uključujući IP adrese, geografske lokacije i metapodatke pružatelja internetskih usluga, stvarajući sveobuhvatnu mapu aktivnosti posjetitelja podzemne platforme za cyber kriminal.
Otkriva 22 miliona Leakzone zapisa
Izložena Elasticsearch baza podataka sadržavala je zapise koji obuhvataju period od 25. juna do trenutka otkrića, obuhvatajući približno milion zahtjeva dnevno sa srednjom veličinom zahtjeva od 2.862 bajta.
Šema baze podataka otkrila je da je 185.000 jedinstvenih IP adresa pristupilo platformi tokom ovog tronedeljnog perioda, što značajno premašuje Leakzoneovu registrovanu korisničku bazu od 109.000 računa, prema izvještaju UpGuarda .
Ova neskladnost ukazuje na sofisticirane mjere zaštite privatnosti koje korisnici primjenjuju, uključujući korištenje dinamičkih IP adresa i proxy servera.
Tehnička analiza je otkrila da je približno 5% zahtjeva (ukupno 1.375.599 zapisa sa 3.983 IP adrese) usmjereno preko javnih proxyja, identifikovanih putem polja baze podataka označenih kao „is_proxy“ i „proxy_type“ sa vrijednostima „PUB“.
Što je još značajnije, istražitelji su pronašli dokaze o opsežnoj upotrebi VPN-a, posebno putem infrastrukture Cogent Communications, gdje su treća, četvrta i šesta najaktivnija IP adresa pripadale ovom VPN provajderu.
Obrazac distribucije prometa sugerisao je da ove intenzivno korištene IP adrese predstavljaju izlazne VPN čvorove koji opslužuju više korisnika, a ne pojedinačne veze.
Procurili podaci predstavljaju ozbiljne implikacije po privatnost korisnika ilegalnog foruma, jer su IP adrese klasifikovane kao lični podaci (PII) prema GDPR propisima zbog njihove mogućnosti identifikacije korisnika na više platformi.
Geografska analiza otkrila je globalnu distribuciju prometa s značajnim izuzecima, posebno odsustvom direktnih veza iz Kine, što sugeriše da kineski korisnici usmjeravaju promet preko proxy servera u drugim zemljama.
Pružatelji usluga u oblaku, uključujući Amazon, Microsoft i Google, istaknuto su se pojavljivali u zapisima o prometu, što ukazuje na to da korisnici koriste glavnu infrastrukturu u svrhu anonimizacije.
Ovaj proboj naglašava ranjivost korisnika koji traže anonimnost na ilegalnim platformama. Dok se 39% IP adresa pojavilo samo jednom u zapisnicima, potencijalno predstavljajući korisnike bez VPN zaštite, koncentracija prometa putem prepoznatljivih VPN usluga stvara nove mogućnosti za nadzor.
Posebno s obzirom na nedavne uspjehe u provođenju zakona, uključujući hapšenje osumnjičenog administratora ruskog hakerskog foruma XSS[.]
Izvor: CyberSecurityNews