Johnny Cash

Исследователь, известный под псевдонимом Cipher0007, сообщил на Reddit о существовании уязвимости на подпольной торговой площадке AlphaBay. Проблема была серьезной и позволяла читать личные сообщения пользователей. Такая уязвимость критична для любого ресурса, но для сайта, на котором торгуют оружием, наркотиками, малварью, данными банковских карт и так далее, подобная проблема и вовсе фатальна. Администрация AlphaBay не стала отрицать очевидное и признала наличие бага, сообщив, что хакер имел доступ к 218 000 личных сообщений пользователей, отправленных за последние 30 дней. Операторы AlphaBay пишут, что Cipher0007 нашел еще одну уязвимость, позволявшую получить список всех юзернеймов сайта и соответствующих им ID. Наличие проблем также подтвердили и администраторы сабреддита DarkNetMarkets, которым исследователь в частном порядке предоставил доказательства существования багов. На подпольных торговых сайтах, подобных AlphaBay, продавцы и покупатели, чаще всего, обсуждают подробности сделок именно через личные сообщения. Администрация AlphaBay позволяет пользователям применять PGP-ключи и шифровать информацию об адресе доставки, биткоин-кошельках, трекинг-номерах и другие конфиденциальные данные. Однако шифрованием и PGP-ключами пользуются не все, так что найденные Cipher0007 проблемы все равно можно было использовать для деанонимизации посетителей. В итоге руководство AlphaBay приняло решение выплатить Cipher0007 своеобразное bug bounty вознаграждение: исследователю заплатили неназванную сумму, чтобы он объяснил, какие методы использовал для доступа к личным сообщениям пользователей и для сбора их ID. В настоящий момент уязвимости уже исправлены. Стоит отметить, что это не первый подобный инцидент, связанный с AlphaBay. В начале 2016 года разработчики даркнет-площадки допустили ошибку: тогда в API добавили функцию, которая позволяет зарегистрированным пользователям сайта, не входя в систему, получить доступ к определенной информации со своих аккаунтов. API AlphaBay позволяет клиентам ресурса читать сообщения, писать новые, проверять свой баланс, выводить средства со счета, узнавать о состоянии лотов и заказов. Но из-за ошибки в коде нововведение также позволило пользователям читать личные сообщения друг друга, что заметили пользователи Reddit. Тогда утечка затронула примерно 13 500 сообщений, прежде чем проблема была устранена.

Брал картон, из 4х карт 1 валид.