Jak błąd braku walidacji pozwolił na kradzież kilku milionów dolarów
Czasem błędy w kodzie programu sprawiają, że nie da się z niego skorzystać. Czasem jednak ktoś odkrywa błędy, dzięki którym można ukraść spore kwoty. Rzadko jednak słyszymy by trywialny błąd w kodzie miał aż takie skutki.
Weterani zakupów w sieci Tor pewnie kojarzą sklep działający pod nazwą Sheep Marketplace. Ten narkotykowy bazar miał krótką i burzliwą historię a jego właściciel został oskarżony o kradzież pieniędzy użytkowników. Tymczasem okazuje się, że tak naprawdę 5400 BTC wartych wówczas kilka milionów dolarów ukradło dwóch przeciętnych acz pomysłowych informatyków z Florydy. Zapraszamy do lektury tej ciekawej historii.
OPSEC, OPSEC, gdzie jest OPSEC
Sheep Marketplace sprzedawał już od kilku miesięcy spore ilości narkotyków w sieci Tor gdy na Reddicie ktoś postanowił pobawić się w demaskowanie jego założycieli. Internauci dość szybko odkryli, że w kodzie są komentarze po czesku, strona reklamująca serwis w zwykłej sieci (co prawda ukryta za CloudFlare ale bardzo nieudolnie) stoi w czeskiej serwerowni, a do tego powstała kilka miesięcy przed premierą samego sklepu w Torze. Do tego sklep oparty był na czeskim frameworku a serwis ze zwykłej sieci oraz z sieci Tor łączyło wiele wspólnych cech. Te odkrycia miały miejsce w październiku 2013, a już w grudniu sklep wpadł w poważne tarapaty.
Tym razem najpierw wyłączono możliwość wypłat środków, potem wyłączono forum aż w końcu właściciele poinformowali, że okradł ich na 5400 BTC sprzedawca występujący pod pseudonimem EBOOK101. Oczywiście okradzeni użytkownicy nie uwierzyli właścicielom i jeszcze do niedawna wszyscy myśleli, że był to jeden z największych tzw. exit scamów w historii narkotykowych bazarów. Jednocześnie z upadkiem sklepu pojawiły się informacje mówiące, że jego właścicielem jest niejaki Tomáš Jiřikovský. Tomáš był programistą frameworka na którym oparto sklep i zostawił w sieci ślady wpisów na forach, w których szukał pomocy w rozwiązaniu problemów charakterystycznych dla prowadzenia narkotykowego bazaru. Do tego był właścicielem firmy, w której hostowana była witryna reklamująca Sheep Marketplace znajdująca się w zwykłej sieci a jego dziewczyna rysowała zwierzaczki podobne do logo serwisu. Brakowało jednak ostatecznych dowodów.
Zamknięte
Dom z basenem
W marcu 2015 dowiedzieliśmy się, że czeska policja zatrzymała niejakiego Tomása Jiřikovskýego, oskarżonego o pranie brudnych pieniędzy. Policja zwróciła na niego uwagę po tym jak jego dziewczyna próbowała przelać na swoje konto równowartość ok. 150 tysięcy PLN nie potrafiąc uzasadnić pochodzenia tych środków. Łącznie znaleziono tajemnicze przelewy na kwotę kilku milionów złotych – wszystkie pochodziły z giełdy BTC Bitstamp. Za te pieniądze Tomás kupił m. in. willę z basenem o wartości ponad miliona PLN, którą zarejestrował na swojego dziadka. To jednak nie był jeszcze koniec tej historii.
Willa za bitcoiny
Amerykańscy geniusze
Kilka tygodni temu sąd na Florydzie ujawnił dokumenty, z których wynika, że czeski bazar narkotykowy został faktycznie okradziony. Nathan Gibson oraz Sean Mackert którzy w momencie kradzieży mieli odpowiednio 21 oraz 24 lata, okazali się być wystarczająco sprytni by ukraść 5400 BTC, lecz jednocześnie wystarczająco głupi, by wkrótce potem dać się złapać. Nie dość, że nie wyprali skradzionych BTC (agenci FBI prześledzili trasę bitcoinów i po jedynie 24 transakcjach trafili na konto na giełdzie BTC Coinbase), to rabusie nie próbowali nawet ukryć swojego świeżo nabytego majątku. W ciągu 3 miesięcy po włamaniu każdy z nich zdeponował na Coibase bitcoiny warte po ok. 2 miliony dolarów a następnie obaj próbowali przelać po kilkaset tysięcy dolarów na konta w różnych bankach. Każdy bank, który próbowali zasilić taką kwotą, odmawiał przeprowadzenia transakcji. Złodzieje tłumaczyli swoje dochody wyjątkowo udanym kopaniem BTC, jednak banki jeden po drugim zawiadamiały FBI o podejrzanych osobach, które zarabiając kilkadziesiąt tysięcy dolarów rocznie nagle okazywały się dysponować kwotami kilkadziesiąt razy większymi.
Błąd stulecia
Czas już na ostatnią perełkę w tej historii. Jak informuje Nik Cubrilovic, znany badacz obszaru działania narkotykowych bazarów, włamywacze wykorzystali błąd tak trywialny, że aż boli gdy o tym piszemy. Nazwa ich konta – EBOOK101 – nie była wybrana przypadkowo. Uzasadniała ona wiele oferowanych w sklepie towarów. Złodzieje któregoś dnia ustalili każdemu ze sprzedawanych ebooków cenę o ujemnej wartości i wszystkie je wykupili, czyszcząc gorący portfel BTC serwisu. AMEN. A poniżej przykład takiego samego błędu w innym serwisie.
Tak kiedyś pisano sklepy
Na koniec pozostaje już chyba tylko powiedzieć, że gdyby Tomás Jiřikovský poszedł na nasze szkolenie… ;)
Podobne wpisy
- Poznaliśmy hasło do bazy Albicla.com po raz trzeci plus wyciek kodu serwisu
- Jak ponownie mogliśmy poznać hasło do bazy serwisu Albicla.com
- Jak żonę naszego czytelnika wredni złodzieje na 5507,01 PLN okradli
- Jak ukraść obrazy warte pół miliarda dolarów i nigdy nie dać się złapać
- Jak czytelnik zorientował się, że jego konto w mBanku nie jest już jego
na screenie jest pokazana -1 książka za $-59,99. Czy obliczanie kosztu nie powinno dać (-1)*(-59,99)=59,99? Rozumiem, gdyby albo ilość była ujemna albo cena, ale w tej sytuacji dlaczego wyszło <0 ?
Użytkownik raczej nie miał możliwości modyfikowania ceny, która wynosiła 59,99. To pierwsze -59,99 pewnie jest pozycją w rachunku a drugie jego podsumowaniem.
Ostateczna cena była wyliczana jako liczba_sztuk*cena. Cena była dodatnia i nie można jej było zmienić, a po wpisaniu -1 jako liczba sztuk, otrzymujemy -1*59,99 = -59,99.
Super… Gdyby nie reklama…
Jak Ci się nie podoba to idź na interie czytać artykuły :D:D nie chcesz reklam? załóż swoja stronę -trać czas na wyszukiwanie informacji, opłacaj serwer, domenę ssl’a – i czytaj takie wpisy jak Twój Januszu :)
4 zela na miesiac za normalny serwer. Pokaż mi lepszą opcję.
No właśnie, to jest fajna reklama:P
Za takie błędy nawet nie szkoda ludzi (nie licząc tego, że to i tak była „nielegalna” giełda).
Wręcz to kara za takie implementacje.
Gorzej, gdy jakaś mniej obeznana osoba zleci wykonanie np. takiego sklepu komuś, kto zostawi taki „kwiatek” i ktoś inny to wykorzysta. Dla kogo to kara? Bo chyba nie dla właściciela sklepu ;)
Może jednak dla właściciela, że zlecając stworzenie np. takiego sklepu komuś, zaufał mu na tyle, by nie sprawdzić wszystkiego? Że nie dał tego kilku osobom do sprawdzenia? Może wynajęcie drugiej osoby by sprawdziła wszystko? ( znowu narażenie się na zmiany, że np. ta osoba coś „zostawi swojego”, błędne koło? )
Nie czepiajcie sie, ze nie umieli wyprac BTC. Sam nie wiem, czy bym wiedzial jak to zrobic.
Wystarczy nie być chciwym i tylko nieznacznie poprawić dochody. Zarabiasz 5k na rękę? Pierz 1.5k miesięcznie, nikt nie zauważy a Ty będziesz żył znacznie lepiej.
Chciwi żyją lepiej i szybciej, ale krócej – kończą marnie.
QA Engineer walks into a bar.
Orders a beer.
Orders 0 beers.
Orders 999999999 beers.
Orders a lizard.
Orders -1 beers.
Orders a sfdeljknesv.
Powinien jeszcze 0.72 piwa, „dwa” (słownie) i SQL Injection piw ;-)
Swoją drogą, jak próbowałem wpisać najbardziej prostackie sqli to już na CloudFlare przyblokowało.
Widzę znaczne braki w sposobie prowadzenia z3s od jakiegoś tygodnia i poważnie mnie to martwi;
1. Nie dołączyliście mema
http://ic.pics.livejournal.com/katrina_fly/40989584/11696/original.jpg
2. Pierwszy raz od dawna odpuściliście WEEKENDOWĄ LEKTURĘ !!!
Fakt, pozostaje wierzyć, że jutro Weekendowa powróci w chwale.
Cytat „agenci FBI prześledzili trasę bitcoinów i po jedynie 24 transakcjach trafili na konto na giełdzie BTC Coinbase” – rąbneli BTC z giełdy w TOR’ze i nie wykonywali transakcji w TOR’ze? Jak inaczej można prześledzić transakcje wysyłane między bitcoinowymi portfelami?
Jaki Tor, po prostu przelewy z portfela do portfela śledzili, portfel A -> portfel B -> portfel C itd aż do sprawcy.