Baza Silk Road 2 na sprzedaż, ujawniono dane części użytkowników

dodał 13 lutego 2015 o 20:38 w kategorii Prawo, Prywatność  z tagami:
Baza Silk Road 2 na sprzedaż, ujawniono dane części użytkowników

(źródło: epSos.de)

Osoba, która podaje się za autora kodu serwisu Silk Road 2, oferuje na sprzedaż i ujawnia fragment bazy danych tego zamkniętego niedawno następcy najsłynniejszego internetowego narkotykowego bazaru.

Na forum Bitcointalk dwa dni temu pojawił się ciekawy wpis, w którym użytkownik podający się za byłego programistę Silk Road 2 proponuje sprzedaż mnóstwa danych pochodzących z bazy serwisu, w tym loginów i haseł prawie pół miliona użytkowników.

Pierwsza aukcja Darkleaks

Sprzedający oferuje swoje dane w oryginalny sposób – to pierwsza upubliczniona aukcja wykorzystująca mechanizm Darkleaks. To bardzo ciekawe narzędzie oparte o sieć bitcoin. Dzieli ono dane, które chcemy sprzedać, na fragmenty i szyfruje je. Właściciel danych dystrybuuje zaszyfrowane pliki i decyduje, ile części i kiedy zostanie ujawnionych. W wybranym momencie losowe fragmenty całości mogą zostać odszyfrowane w oparciu o klucze pojawiające się w konkretnym bloku blockchainu. Dzięki temu właściciel danych udowadnia, że jest ich faktycznym posiadaczem. Zaszyfrowane fragmenty danych powiązane są z konkretnymi adresami BTC. Gdy spłyną na nie oczekiwane przez sprzedającego środki, by je wypłacić, będzie musiał ujawnić ich klucze. Klucze te jednocześnie służą do odszyfrowania sprzedawanych danych. Dzięki temu kupujący może być prawie pewien, że kiedyś dane zobaczy. Cały mechanizm nie posiada centralnego punktu zarządzania i weryfikacji, co stanowi ogromną zaletę.

Mam bazę i nie zawaham się jej sprzedać

Ten własnie mechanizm wykorzystuje osoba podająca się za programistę Silk Road 2, który na tyle dbał o swoją prywatność, że nie został zatrzymany wraz z założycielem serwisu. Osoba ta twierdzi, że posiada:

  • dane 476 122 użytkowników (login, zahaszowane hasło, informacje o transakcjach)
  • dane 51 490 adresów BTC
  •  7756 haseł zapisanych otwartym tekstem
  • listę 13 280 produktów
  • 52 481 prywatnych wiadomości użytkowników
  • 145 493 zapisów transakcji
  • oraz pełen kod źródłowy serwisu.

Programista twierdzi, że od pierwszych do ostatnich dni życia serwisu administrował zarówno stroną jak i serwerami, na których funkcjonowała i zarobił w tym czasie 1200 BTC za swoją pracę.

Jego ogłoszenie wzbudziło kontrowersje. Szczególnie kwestionowana jest ilość ofert – niecałe 14 tysięcy wygląda na liczbę maksymalnie dostępnych jednocześnie w historii serwisu ofert, a można by się spodziewać znacznie większej liczby ofert w archiwum serwisu. Wszystkie wątpliwości powinno rozwiać ujawnienie pierwszej części danych – ale niekoniecznie już można potwierdzić lub zaprzeczyć autentyczności informacji.

10% kont użytkowników

Autor oferty zdecydował o tym, że dzisiaj ujawnione zostało 10% pierwszego pliku – losowe 10 fragmentów ze 100. Plik zawiera rzekomo dane ponad 470 tysięcy użytkowników. Na pierwszy rzut oka dane wyglądają wiarygodnie – jest login i hasz hasła (podobno SHA1 z długą, statyczną solą, która na razie nie została ujawniona), jest także informacja o typie użytkownika a w przypadku sprzedawców także o ich lokalizacji i możliwych kierunkach wysyłki.

Fragment ujawnionego pliku

Fragment ujawnionego pliku

Na razie w wątku w serwisie Reddit odezwał się jeden użytkownik, który rzekomo znalazł swoje konto, ale to trochę za mało, by potwierdzić wiarygodność całości. Z ciekawostek – natrafiliśmy np. na konto o nazwie murzynskiepogo2, które to słowo nie występuje w Google, co w naszej ocenie podnosi wiarygodność danych. Inne charakterystyczne loginy z bazy to:

Autor zapowiedział, że jeśli otrzyma 2,5 BTC, to ujawni pierwsze 5 bloków. Czeka również na oferty osób zainteresowanych otrzymaniem do wglądu soli hasza SHA1. Zakładając, że wielu użytkowników może korzystać z tego samego hasła w innych serwisach tego typu, mogą znaleźć się chętni do zakupu całości informacji.