Злоумышленники нашли и слили базу Leak Zone с IP и учетными данными
Как сообщили исследователи из UpGuard в официальном блоге , ресурс оставил базу данных Elasticsearch открытой для доступа без пароля, тем самым подвергнув опасности своих пользователей.
Базу данных, обнаруженную 18 июля, можно было свободно просматривать через обычный браузер — она оставалась открытой и обновлялась в реальном времени. В ней содержалось более 22 миллионов записей, фиксирующих IP-адреса и точное время входа пользователей форума. Последние данные датированы 25 июня. Подобные проблемы Elasticsearch уже неоднократно становились причиной крупных утечек данных.
Хотя записи не были напрямую привязаны к никам или профилям, их можно использовать для идентификации пользователей, если те не применяли инструменты анонимизации. Некоторые строки в базе указывали, был ли вход осуществлён через прокси или VPN, что позволяло оценить степень защиты конкретного пользователя.
Leak Zone активно функционирует с 2020 года и предлагает доступ к «обширной коллекции утечек — от баз данных до взломанных аккаунтов», как указано в описании сайта. Форум также содержит маркетплейс, на котором прямо рекламируются незаконные услуги. По данным с сайта, на платформе зарегистрировано свыше 109 тысяч пользователей. Это далеко не первый случай, когда хакерский форум сам становится жертвой утечки данных.
Исследователи уточняют, что около 95% информации в утекшей базе касаются авторизаций на Leak Zone. Оставшиеся 5% относятся к аккаунтам, связанным с сервисом AccountBot — сайтом, продающим доступ к скомпрометированным учетным записям потоковых сервисов.
Редакция TechCrunch подтвердила подлинность утечки, зарегистрировав тестовую учётную запись и зафиксировав момент появления соответствующей записи в базе с IP-адресом и временем входа. Причины того, почему база оказалась в открытом доступе, неизвестны. Вероятной причиной может быть человеческая ошибка или ошибка конфигурации, а не злонамеренные действия.
Связаться с администрацией Leak Zone не удалось — форумная система отклоняла попытки отправить сообщения. Неясно, знают ли администраторы о проблеме и собираются ли уведомить пользователей.
По информации UpGuard, на момент публикации база данных уже была отключена.
Инцидент произошёл на фоне усиливающегося давления со стороны властей США и Европы на киберпреступные форумы. Ранее власти уже закрывали RaidForums — один из крупнейших в мире форумов по торговле краденными данными. Так, на этой неделе Europol арестовал предполагаемого администратора российского форума XSS.is.