Osoba, która podaje się za autora kodu serwisu Silk Road 2, oferuje na sprzedaż i ujawnia fragment bazy danych tego zamkniętego niedawno następcy najsłynniejszego internetowego narkotykowego bazaru.
Na forum Bitcointalk dwa dni temu pojawił się ciekawy wpis, w którym użytkownik podający się za byłego programistę Silk Road 2 proponuje sprzedaż mnóstwa danych pochodzących z bazy serwisu, w tym loginów i haseł prawie pół miliona użytkowników.
Pierwsza aukcja Darkleaks
Sprzedający oferuje swoje dane w oryginalny sposób – to pierwsza upubliczniona aukcja wykorzystująca mechanizm Darkleaks. To bardzo ciekawe narzędzie oparte o sieć bitcoin. Dzieli ono dane, które chcemy sprzedać, na fragmenty i szyfruje je. Właściciel danych dystrybuuje zaszyfrowane pliki i decyduje, ile części i kiedy zostanie ujawnionych. W wybranym momencie losowe fragmenty całości mogą zostać odszyfrowane w oparciu o klucze pojawiające się w konkretnym bloku blockchainu. Dzięki temu właściciel danych udowadnia, że jest ich faktycznym posiadaczem. Zaszyfrowane fragmenty danych powiązane są z konkretnymi adresami BTC. Gdy spłyną na nie oczekiwane przez sprzedającego środki, by je wypłacić, będzie musiał ujawnić ich klucze. Klucze te jednocześnie służą do odszyfrowania sprzedawanych danych. Dzięki temu kupujący może być prawie pewien, że kiedyś dane zobaczy. Cały mechanizm nie posiada centralnego punktu zarządzania i weryfikacji, co stanowi ogromną zaletę.
Mam bazę i nie zawaham się jej sprzedać
Ten własnie mechanizm wykorzystuje osoba podająca się za programistę Silk Road 2, który na tyle dbał o swoją prywatność, że nie został zatrzymany wraz z założycielem serwisu. Osoba ta twierdzi, że posiada:
- dane 476 122 użytkowników (login, zahaszowane hasło, informacje o transakcjach)
- dane 51 490 adresów BTC
- 7756 haseł zapisanych otwartym tekstem
- listę 13 280 produktów
- 52 481 prywatnych wiadomości użytkowników
- 145 493 zapisów transakcji
- oraz pełen kod źródłowy serwisu.
Programista twierdzi, że od pierwszych do ostatnich dni życia serwisu administrował zarówno stroną jak i serwerami, na których funkcjonowała i zarobił w tym czasie 1200 BTC za swoją pracę.
Jego ogłoszenie wzbudziło kontrowersje. Szczególnie kwestionowana jest ilość ofert – niecałe 14 tysięcy wygląda na liczbę maksymalnie dostępnych jednocześnie w historii serwisu ofert, a można by się spodziewać znacznie większej liczby ofert w archiwum serwisu. Wszystkie wątpliwości powinno rozwiać ujawnienie pierwszej części danych – ale niekoniecznie już można potwierdzić lub zaprzeczyć autentyczności informacji.
10% kont użytkowników
Autor oferty zdecydował o tym, że dzisiaj ujawnione zostało 10% pierwszego pliku – losowe 10 fragmentów ze 100. Plik zawiera rzekomo dane ponad 470 tysięcy użytkowników. Na pierwszy rzut oka dane wyglądają wiarygodnie – jest login i hasz hasła (podobno SHA1 z długą, statyczną solą, która na razie nie została ujawniona), jest także informacja o typie użytkownika a w przypadku sprzedawców także o ich lokalizacji i możliwych kierunkach wysyłki.
Fragment ujawnionego pliku
Na razie w wątku w serwisie Reddit odezwał się jeden użytkownik, który rzekomo znalazł swoje konto, ale to trochę za mało, by potwierdzić wiarygodność całości. Z ciekawostek – natrafiliśmy np. na konto o nazwie murzynskiepogo2, które to słowo nie występuje w Google, co w naszej ocenie podnosi wiarygodność danych. Inne charakterystyczne loginy z bazy to:
user.username=dupadupa123 user.username=dupawisni user.username=dupadupa11 user.username=dupa1334 user.username=WujekChujek user.username=ziomalskiziom user.username=niusiekcpun user.username=kozioekmatoek000 user.username=jabluszko111 user.username=jacuszek user.username=ozjaszowicz user.username=kokoszugandy user.username=znaszmnie user.username=dupencjosz user.username=zbyszek user.username=lukaszfolga123 user.username=mistrz user.username=przemektoparowa
Autor zapowiedział, że jeśli otrzyma 2,5 BTC, to ujawni pierwsze 5 bloków. Czeka również na oferty osób zainteresowanych otrzymaniem do wglądu soli hasza SHA1. Zakładając, że wielu użytkowników może korzystać z tego samego hasła w innych serwisach tego typu, mogą znaleźć się chętni do zakupu całości informacji.
Komentarze
Gdyby miał tyle bitcoinów, nie pie#doliłby się z drobnikami. Zwłaszcza, że FBI na pewno chce go dostać w swoje brudne łapki.
Wygląda mi to na osztustwo albo wypromowanie nowej platformy sprzedażowej Darkleaks.
Moim zdaniem błednie Ci to wygląda – to bardzej jak dokumentacja pod obrone „Pirata Roberta” ;-)
Coś ci się pomerdało ;p
FBI to kupi na 100%, wątpie aby przepuścili taką okazję.
Po co im? Przecież mają kopię całego serwera…
To po co zwykłemu śmiertelnikowi baza tekstowa pół miliona kont ćpunów?
Kto może być tym zainteresowany? Autor Silk Road 8? „Przyjdźcie na SL8, wasze konta już tam są?”
Jeśli używają tego samego hasła w innych serwisach tego typu i da się tam manipulować np. wypłatą BTC to sam sobie odpowiedz na swoje pytanie.