Архив

База данных 2 миллионов пользователей WebMoney всего за 10 долларов

В Интернете продается база данных электронных адресов почти 2 миллионов пользователей платежной системы WebMoney Transfer всего за 10 долларов. Эксперты InfoWatch расследовали этот инцидент, разобрались в механизме компиляции базы данных и той опасности, которая грозит пользователям системы электронных платежей.

В конце прошлой недели в Интернете прошла рекламная рассылка, предлагающая всем желающим приобрести «уникальную базу пользователей WebMoney всего за 10 долларов». Продавец сообщил, что база содержит 1 976 482 адресатов и что в нее вошли абсолютно все пользователи этой системы электронных платежей. В качестве источника данных автор спама указал сайт аттестации http://passport.webmoney.ru/. Также продавец предложил за 100 долларов разослать рекламные сообщения по адресам в базе данных.

В связи с тем, что возникло подозрение на утечку конфиденциальной информации пользователей системы WebMoney, к расследованию инцидента подключилась компания InfoWatch, специализирующаяся на предотвращении утечек и защите от инсайдеров. Эксперты вступили в переписку с продавцом и приобрели копию базы данных, которая представляет собой текстовый файл размером примерно 6 Мб, где на каждой строчке размещен один адрес электронной почты пользователя системы WebMoney.

Таким образом, специалистам InfoWatch удалось выяснить, что речь идет лишь о базе почтовых адресов, которые сами по себе не являются конфиденциальными. Тем не менее, продавец базы указал, что это адреса абсолютно всех пользователей WebMoney, так что некоторые подозрения все же остались.

Компиляция базы данных

Анализ сайта аттестации (http://passport.webmoney.ru/), на который ссылался автор рекламного сообщения, показал, что любой желающий может ввести 12-тизначный WMID (идентификатор пользователя WebMoney), чтобы проверить аттестат пользователя системы электронных платежей. Было также установлено, что в результате такого запроса сервер WebMoney возвращает персональные сведения владельца WMID, многие из которых скрыты от проверяющего. Однако почтовый адрес чаще всего доступен для просмотра. Результат проверки аттестата пользователя, чей WMID состоит из двенадцати нулей, представлен на рисунке ниже. Эту же страницу можно открыть, пройдя по ссылке (http://passport.webmoney.ru/asp/CertView.asp?wmid=000000000000).

Можно предположить, что продавец базы данных написал программу-сценарий (script), в задачи которой входит перебор абсолютно всех WMID и вычленение из полученных страниц почтового адреса пользователя. Между тем, напрямую это сделать не получится, так как каждая страница, возвращаемая на запрос о проверке аттестата, занимает около 18 Кб, что в пересчете на общее количество проверяемых идентификаторов (так как WMID занимает 12 цифр, то общее число всех аттестатов равняется 999’999’999’999) дает 17’999 Тб трафика. Очевидно, что это слишком большие объемы данных.


Результат проверки аттестата — доступен e-mail пользователя

Однако у продавца и не было необходимости проверять абсолютно все аттестаты. Ведь абсолютно все идентификаторы, безусловно, системой WebMoney не задействованы. Действительно, введя на странице аттестации произвольный WMID, пользователь в большинстве случаев получит ответ: «Данного идентификатора не существует в системе». Раз нет пользователя, то нет и почтового адреса. Здесь следует отметить, что даже страница несуществующего идентификатора занимает 9 Кб, так что суммарный объем трафика при переборе всех WMID в лоб все равно остается очень большим. Таким образом, составителю базы данных было необходимо оптимизировать алгоритм перебора, чтобы получать не всю 18-ти или 9-ти килобайтную страницу, а лишь ее какой-то элемент, позволяющий однозначно судить, существует такой WMID в системе или нет.

Когда стало очевидно, что в продаваемой базе почтовых адресов не содержится конфиденциальной информации и что в составлении массива данных не принимали участие инсайдеры из WebMoney, эксперты InfoWatch повторно вступили в переписку с продавцом и предложили ему пояснить механизм оптимизации запросов к серверу аттестации.

Продавец базы данных представился Александром и сообщил, что действительно оптимизировал свои запросы так, чтобы получать не всю страницу с аттестатом, а лишь картинку BL (картинка «Бизнес уровень», см. на картинке выше прямо под датой регистрации пользователя). Заметим, что размер картинки составляет лишь 800 байт, что существенно меньше 9 или 18 Кб, которые занимает вся страница с аттестатом. Причем картинку BL имеет абсолютно каждый пользователь WebMoney. Однако если открыть несуществующий WMID, введя соответствующий идентификатор в форме сайта аттестации, то появится страница, не содержащая картинки BL.


У несуществующего идентификатора нет картинки BL

Однако если получить ссылку на картинку BL у существующего пользователя WebMoney, а потом в этой ссылке исправить WMID на любой не существующий (то есть попытаться обратиться к картинке несуществующего пользователя напрямую), то сервер аттестации все равно вернет картинку «по умолчанию»: . Эта картинка BL действительно установлена по умолчанию для всех несуществующих WMID. Заметим, что содержит она не цифры (как например, на две картинки выше), а слово «up…». Таким образом, программа-сценарий каждый при скачивании картинки BL с сервера WebMoney считала для нее хеш-значение и сравнила с хеш-значением картинки . В результате удалось существенно сэкономить на трафике (с 17’999 Тб до 800 Тб) и получить в конце идентификаторы только существующих пользователей WebMoney. Продаваемая база содержит 1’976’482 адреса, следовательно, для сбора адресов потребовалось скачать ровно столько же 18-тикилобайтных страниц. Это 35,5 Гб трафика, что вообще не представляет никаких проблем.

Отметим, что метод оптимизации запросов, выбранный продавцом базы, хотя и сработал, содержит некоторые огрехи. Дело в том, что даже у существующих идентификаторов почтовый адрес может быть закрыт владельцем. Другими словами, картинка BL будет для такого WMID отличаться от , но почтового адреса на странице все равно не будет. Однако таких исключений не так уж и много, так что в дальнейшей оптимизации смысла не было.

Вступив в переписку с экспертами InfoWatch, продавец сообщил, что на скачивание всех картинок BL его серверу потребовалось ровно 27 дней. Еще три дня ушло на получение страниц для уже существующих идентификаторов и вычленение из них почтовых адресов. В результате за 30 дней была составлена база практически всех пользователей системы WebMoney (за редкими исключениями, указанными выше). Продавец также выразил недовольство пропускной способностью своего сервера (всего 34 Мб/сек).

Бизнес на грани закона

По мнению Александра, продаваемая база «способна увеличить продажу цифровых товаров», так как пользователи системы WebMoney являются самыми платежеспособными. Другими словами, база предназначена для профессиональных спамеров, которые теперь могут направить рекламу на конкретную целевую аудиторию. Продавец сообщил, что не имеет связей с другими спамерами и все заказы выполняет сам (например, рассылку рекламы по базе пользователей WebMoney за 100 долларов). Отметим, что свои письма с предложением купить базу Александр разослал как раз по базе пользователей WebMoney.

Экспертам InfoWatch показалось интересным выяснить, каким спросом пользуется такая база в российском сегменте Интернета. Как оказалось, когда Александр разослал 30 тыс. своих рекламных сообщений с предложением приобрести базу, у него появился один покупатель. Всего же Александр продал базу 45 раз и осуществил 7 рекламных рассылок. Отсюда легко подсчитать совокупные доходы продавца на сегодняшний день — 1’150 долларов (45х10 + 7х100).

Когда специалисты InfoWatch поинтересовались у Александра, считает ли он, что нарушает какие-нибудь российские законы, то продавец ответил: «Да, есть немного, но я взял то, что открыто у пользователей системы». С этим сложно поспорить, так как система WebMoney действительно оказалась уязвимой к атаке такого рода. Между тем, тот факт, что это действительно атака, не вызывает сомнений. Ведь вряд ли пользователям или владельцам системы WebMoney было приятно узнать, что адреса всех владельцев WMID могут быть собраны в одну базу. По мнению Александра, разработчикам сервера аттестации было достаточно вставить хотя бы секундную задержку при скачивании картинок BL, чтобы существенно усложнить сбор адресов. Между тем, Александр чувствует себя уверенно и не боится за собственную анонимность. Оплату за свой товар и свои услуги он принимает по той же системе WebMoney (а также Yandex.Money) и не волнуется, что его вычислят. «Proxy всегда помогают», — говорит Александр.

Таким образом, пользователи системы электронных платежей WebMoney в ближайшее время могут столкнуться с чрезвычайно интенсивным потоком спама. Данный инцидент должен послужить уроком для руководителей WebMoney и других систем, так как любые персональные сведения зарегистрированных пользователей должны быть максимально скрыты от глаз спамеров и других злоумышленников. Даже если владелец аттестата хочет оставить свой e-mail в публичном доступе, разработчики системы должны позаботиться о том, чтобы предотвратить автоматический сбор всех этих адресов. Ведь сформировав свою базу, спамеры безусловно нацелятся на новую платежеспособную целевую аудиторию. Между тем, пока что приватность в системах электронных платежей оставляет желать лучшего.

«Прежде всего, в Интернете сегодня все очень безалаберно относятся к приватным данным. Это проблема живых журналов, блогов, форумов и т.п. Однако в данном случае, на мой взгляд, здесь проблема состоит именно в том, что WebMoney является финансовой системой и со своими пользователями связана как раз денежными узами. Если бы спамеры обобрали почтовые адреса какого-нибудь футбольного форума, то никто бы и бровью не повел, хотя спам все, безусловно, осуждают. Здесь же мы должны реагировать самым решительным образом, так как в следующий раз утекшие персональные сведения пользователей системы платежей могут оказаться не в пример серьезнее почтовых адресов. Да и использованы они будут не для рассылки спама, а для очистки чужих кошельков», — комментирует Денис Зенкин, директор по маркетингу компании InfoWatch.

База данных 2 миллионов пользователей WebMoney всего за 10 долларов

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике