Dzisiaj do naszej skrzynki trafiła baza danych popularnego polskiego forum przestępców w sieci Tor, ToRepublic. Nie jest to pierwszy wyciek z TR a wiele wskazuje, że wielu miesięcy ktoś miał dostęp do bazy serwisu i dzielił się informacjami.
Dzisiaj okolu południa Marcin Siedlarz, polski badacz bezpieczeństwa pracujący dla FireEye, opublikował fragment zrzutu bazy danych ToRepublic. Krótko potem na naszą skrzynkę trafiła kompletna, aktualna lista użytkowników serwisu wraz z komentarzem od autorów wycieku.
Serwis przejęty od roku?
Otrzymaliśmy wiadomość o następującej treści:
Postanowilismy wkrotce zamknac forum zwane Torepublic
Dzieki niekompetencji administracji tego forum mielismy do niego dostep od roku
Dzisiaj zostala przez nas ujawniona lista userow waszej spolecznosci co zalaczamy do naszej wiadomosci
W najblizszym czasie opublikujemy link za pomoca ktorego kazdy (Policja tez)bedzie mogl pobrac baze danych ToRepublic ktora jest w naszym posiadaniu
To z naszej strony wszystko i radze wszystkim uzytkownikom tego forum isc do Kosciola i przypomniec sobie 7 przykazanie „nie kradnij”
Wesolych Świąt HOW!HOW!HOW!
Do wiadomości dołączony był zrzut bazy danych ToRepublic, zawierający prawie dwa tysiące kont użytkowników w tym takie, które stworzono całkiem niedawno. Zrzut zawiera ID, login, hasz hasła (SHA1(sól.SHA1(hasło))), sól oraz adres email skojarzony z kontem.
Fakt posiadania przez włamywaczy bazy danych użytkowników wskazuje, że prawdopodobnie również baza wiadomości prywatnych znalazła się w cudzych rękach – kto nie szyfrował, ten może już robić rachunek sumienia.
Nie pierwszy wyciek, ale czy ostatni?
ToRepublic już w czerwcu 2013 zaliczył poważną wpadkę z wyciekiem bazy włącznie. Z docierających do nas od czasu do czasu sygnałów można wywnioskować, że nieautoryzowane osoby posiadały dostęp do bazy serwisu zarówno w zeszłym, jak i w tym roku. Prawdopodobnie to własnie od wycieku danych z ToRepublic zaczęły się niedawno opisywane przez zatrzymania polskich przestępców internetowych, w tym Polsilvera, oskarżanego o związek z włamaniem do Plusbanku.
Czy ToRepublic przetrwa również tę zawieruchę? Wygląda na to, że największe polskie forum przestępców zmierza do nieuchronnego końca po utracie wiarygodności, a teraz także bezpieczeństwa danych. Po zamknięciu Victorii jedyną większą alternatywą pozostaje obecnie Hydra – ciekawe, kiedy i o niej zamieścimy podobny artykuł. Najwyraźniej prawidłowa konfiguracja forum w internecie przerasta umiejętności polskich przestępców.
Aktualizacja: Oto lista najczęściej używanych domen podawanych w adresach email:
882 safe-mail.net 132 gmail.com 86 mail2tor.com 70 tormail.org 69 wp.pl 60 o2.pl 54 riseup.net 47 sigaint.org 28 yandex.com 27 vfemail.net 24 torbox3uiot6wchz.onion 20 onet.pl 17 openmail.cc 16 interia.pl 15 yahoo.com 15 mail.ru 14 mailtor.net 11 hmamail.com 8 op.pl 7 tutanota.com
Aktualizacja 2: W sieci opublikowano pełną bazę serwisu, zawierającą wszystkie wpisy z forum (w tym również działów ukrytych) oraz prywatną korespondencję użytkowników.
https://twitter.com/ToRepublic/status/679021836865282049
Aktualizacja 3: Strona główna ToRepublic została podmieniona i wygląda tak:
Komentarze
Ciekawym, czy znajdzie się mail skojarzony z @gov.pl? Brzmi to nieprawdopodobnie, ale kto wie? Jakiś Pan X próbował już, pisząc z takiego maila, odpowiedzieć na ogłoszenie o sprzedaży dziewictwa, więc cóż…
„[email protected]”, „[email protected]” – skoro widnieją tam takie (i tym podobne) wpisy to wynika z tego, że forum nie wymaga potwierdzania mailem aktywacji?
Najwyraźniej. W sumie logiczne, a jednak nieco szkoda. Z drugiej strony… tym bardziej żaden to dowód, skoro mail nie wymaga autoryzacji.
Rekord usera jest zapisany w bazie ze stanem active=0
„Pełna baza danych i użytkowników ToRepublic w rękach włamywaczy”
„Dzisiaj w naszej ręce trafiła baza danych popularnego polskiego forum przestępców w sieci Tor, ToRepublic”
heh
http://pastebin.com/iDsqa9Ea
Rozumiem że to ta baza w całości?
nawet są wyraźne polskie akcenty „czystyfresnel [email protected]” :D
Panowie nie pękać :) , jak pisał Suworow cykory mają przerąbane ( nie jest to cytat dosłowny ) bo o to chodzi włamywaczom … Jako dowod w sądzie to nie przejdzie , chyba że się sami przyznacie, no bo Policja stosuje swoje triki zebyście się mieli szansę przyznać, nawet jeżeli nic nie zrobiliście, tylko sobie pisaliście … Przecież jakbym się zapisał do ToRepublic to na dane mojego wroga :) z nadzieją że kiedys ktoś się włamie …. :)
O bezpieczeństwo hydry nie martwcie się :) W hydrze mamy specjalny dział security jak w każdej szanującej się firmie, logi są przehglądane codziennie a reakcja na incydenty jest szybasza niż na allegro :D
Zmiana nicku nic ci nie da Mala_Mi spamerze nastepna baza bedzie hydry zapisz sobie ta wiadomosc zeby nie bylo pretensji
tak malami to ja i malami pamieta FG. no na pewno. Jak pamiętasz te czasy ponad 10 lat wstecz to możemy się znać.
Hakierujcie hydrę śmiało, jak sie przedrzecie przez IDS (w co wątpię) to wam pogratuluję tylko pospieszcie się bo tam niedługo i tak nie będzie punbb, tylko autorski skrypt forum.
autorski skrypt forum powiadasz? brzmi ciekawiej dla pentesterów niż jakikolwiek publiczny silnik forum. nie polegalbym na tym IDS za bardzo… pozyjemy, artykul z dumpem zobaczymy :)
Zgadza się mój Klakierku. Ten specjalny „dział” to grupa do walki z cyberprzestępczością Centralnego Biura Śledczego Policji :)
A teraz chodź do Gargamelka na kolanko to Cię pogłaszczę :*
Dziwne bo mojego usera nie ma w tej bazie.
Moj niestety jest :) Ale kogos z zerowa iloscia postow to chyba zostawia w spokoju?
Wie ktoś może jak odszyfrować hasło mając sól? xD Interesuje mnie dostęp do działu z plusikami :D
Wrzucasz generujesz hashe sól+hash lub hash+sól i czekasz az hash będzie taki sam jak szukasz:) opcje taką masz już wbudowaną w programy na gpu podajesz hash + salt :)
I wszystkie plusiki teraz na nic :(
Forum oficjalnie zostao zhackowane. zostalo jedynie powitanie:”How, How, How :D”
przez moment nawet zostawili Anti-DDos skrypt aby po chwili znow byc zaskoczonym chuchaniem 'mikolaja’ ;)
Ta wlamanie, sami udostepniaja skompromitowane forum tym samym zapraszajac naiwnych na hydre.
Oj kranguś, tak to jest jak dzieci biorą się za stawianie usług w torze. Dla społeczności może nawet lepiej że tak wyszło? Przynajmniej nie będą siedzieć na forum nieodpowiedzialnych gimnazjalistów, którzy mają je głęboko w dupie. Administrator powinien być dla społeczności, tak jak Andrzej Duda jest prezydentem wszystkich Polaków.
Moim nie jest i chyba nikogo kto reprezentuje jaki kolwiek poziom.
To była ironia.
To żaden nigdy nie będzie.
Mógł by ktoś zapodać kipię strony wraz z zachowaniem struktury katalogów.
Takie prezenty na święta to ja rozumiem ;-D
Zna ktoś sposób na komfortowe przejrzenie tego? Przyznam się szczerze, że przemieszczanie się pomiędzy 25 tysiącami linijek w notepadzie jest troszkę męczące.
Tak, zaimportować do MySQL.
Jakim programem ?
@w $(which mysql) <- tym programem
a da sie tak zrobic, by forum wygladalo jak torepublic ? ;)
Dasz link do programu? I co i jak dalej?
’przemieszczanie się pomiędzy 25 tysiącami linijek w notepadzie jest troszkę męczące.’
Człowieku skąd Ty się urwałeś ? :D
SublimeText3 ma minimapę i dobrze sobie radzi z dużymi plikami txt.
Czy toco opublikowali ta twiterze to baza strony ze wszystkimi wpisami?
Cytując klasyka „Bić kurwy i złodziei, mości hrabio.”
To najbardziej uczciwi ludzie w obecnym świecie.
nawjwygodniej czytać przez phpmyadmin
albo lokalnie szkielet forum https://github.com/torepublic/torepublic.git
czy po ściągnięciu tej zawartości wystarczy wrzucić na ftp do sprawnego oglądania ?
phpmyadmin klikasz importuj wskazujesz plik lub poprzez konsole hasło do bazydanych, use nazwa bazy danych source sciezka_do_pliku/nazwa_pliku.sql ENTER :)
tutaj napisali, że małami też już złapana. dezinformacja na każdym kroku :)
http://wyborcza.biz/biznes/1,100896,19383945,wyciekla-baza-forum-cyberprzestepcow-to-tam-kryli-sie-atakujacy.html?biznes=local#BoxBizLink
Może ktoś wytłumaczyć co pobrać i co uruchomić aby poczytać trochę? :)
Z gory dzieki
Poczytaj sobie o podstawach baz danych, jak zaimportować dump bazy do mysqla a potem już lecisz sobie SELECTem po tabelach i czytasz co Cię interesuje.
Z ciekawości – jakie były najpopularniejsze hasła? Czy były kwiatki typu qwerty albo podobne?
Tak, takie kwiatki też są :-)
http://torepublic.cba.pl/
Pomoże ktoś czego nie wyświetla postów, dla ułatwienia w trybie DEBUG ?
user:Member
pass:Member
sory,
user:Members
pass:Members
Nie wiem skąd ta panika. Chyba bandziorki nie podpisywały się swoimi nazwiskami?
Wpisywanie adresów email na FB wcale nie daje żadnych wyników ;>
Jak uruchomić ten szkielet forum na lokalnym kompie? Sciagnalem to z githuba, zaisntalowalem phpmyadmin i mam skrypt SQL ktory udostepnili… Potrzebna pomoc please…
Instalujesz Apache lub nginx, mysql i php. Importujesz bazę, pobierasz kod z githuba i wrzucasz na serwer. Edytujesz plik config.php i ustawiasz dane do bazy i adres serwera na localhost. Powinno śmigać.
Sorry! The page could not be loaded.
Unable to connect to MySQL and select database.
MySQL reported: Access denied for user ”@’localhost’ to database 'yyy’
co zrobic ?
Ta Hydra jest nic nie warta. Nie zawracajcie sobie nia glowy. Obecny admin (DrZu0/Nick Fury/Z czy jak teraz ma znow) to jakis wariat. Usuwa posty, niewygodne posty. Calkowicie zrozumiale jest usuwanie postow z wulgaryzmami i nieodpowiednimi tresciami, ale on zachowuje sie jak 12 letni maly dyktator z mlekiem pod nosem. Od poczatku cale te forum Hydra smierdzialo ale teraz to juz zenada. A Dzial dla Unregow ma opis : „Piszcie co chcecie” ;) hipokryzja do kwadratu. Ten Z siedzi tam prawie 20h na dobe(chyba ze ma zmiennikow) i skrupulatnie pilnuje tresci jak Naczelna Izba Kontroli w Islamskiej Republice IRANU ;)
Na domenie ToRepublic(ciezkoosiagalnej, pewnie DDOS) pojawil sie update, w ktorym m.in. jest odnosnik do forum Hydra jako stworzonego przez CBSP po nieudanej probie przejecia Torepublic;) Z. czyli adminowi Hydry pekla przez to zylka: czyt. zdenerwowal sie i odebral to jako wypowiedzenie wojny ;) Bedzie sie dzialo :)
Oto komunikat w calosci :
—–BEGIN PGP SIGNED MESSAGE—– Hash: SHA512 28.12.2015 Torowicze i Torowiczki, pozbieralismy sie po ataku i wracamy do Tora. Sytuacja jest powazna i potrzebna jest Wasza pomoc. Sluzby chca przejac kontrole nad nasza scena i dlatego musimy wprowadzic zmiany i standardy, ktore nie pozwola im nas inwigilowac.
Mbank_konsultant i Lucypher sami nie dadza rady ze sluzbami. Musimy dzialac w kolektywie i sie zdecentralizowac, do prywatnych rozmow nie mozemy uzywac forumowych PW. Prywatne rozmowy musza sie odbywac innymi kanalami, mail, jid, bitmessage. Musimy zalozyc kilka for interentowych, z logowaniem za pomoca gpg.
Fora musza sie nawzajem wspierac, inaczej sluzby wylapia nas jeden po drugim. Musicie wybrac wygode albo bezpieczenstwo, centralizacje albo decentralizacje, Tora albo Facebooka.
Jezeli wybieracie bezpieczenstwo, to kolejny ruch nalezy do WAS.
Usunelismy z kodu Torepublic prywatne wiadomosci i wprowadzilismy dla memberow logowanie za pomoca hasla + gpg. Dla traderow logowanie pozostaje bez zmian.
Userzy, ktorzy nie chca podwojnej metody logowania, powinni usunac klucz publiczny z profili.
Dzieki temu mozemy publikowac baze danych, zlamanie hashy nie umozliwi intruzowi przejecie konta.
Mozna? Mozna. Wprowadzilismy ustawienie, ktore blokuje postowanie userom majacym mniej niz -X plusikow, ale moga postowac w Kamerze
Udostepniamy kod forum i baze
https://github.com/torepublicStartpageCode/torepublic2/
Zeby forum dzialalo, potrzebne sa php5-gnupg i php5-curl.
Kopiujcie kod i zakladajcie wlasne fora na bazie tych plikow.
Dziedziczycie w spadku po Torepublic potezna baze danych i sprawny organizacyjnie system forum. Mbank kodowal, wiec musicie wykonac analize bezpieczenstwa.
Ta strona bedzie sluzyc za strone startowa polskiego Tora.
Bedziemy na niej zamieszczac linki do for internetowych, ktore spelnia warunki:
* Brak prywatnych wiadomosci
* Ogolnieostepna baza danych
* Ogolniedostepny kod forum
* Logowanie na podstawie gpg
Fora, ktore nie podporzadkuja sie do tych warunkow beda uznawane za fora policyjne.
Fora, ktore hakuja te niepolicyjne beda uznane za fora policyjne.
Funkcjonariusze z hydry pisza, ze nie musicie sie obawiac policji jesli szyfrujecie wiadomosci.
To policyjny blef. Sama informacja o wyslanej wiadomosci miedzy dwoma forumowiczami daje informacje o tym kto z kim i jak czesto robi interesy.
Dla bezpieczenstwa nasza dwojka musi usunac sie w cien i zmienic niki.
Kolejny ruch nalezy do Was, jezeli go nie wykonacie to ta strona znikinie.
Jezeli nie wykonacie tego ruchu, to nasze wysilki byly niepotrzebne.
ToRepublic to nie samo forum, posty z ToRepublic to dorobek Onion Forum, Torowiska, PB&M, POP i Poligamii.
ToRepublic to sprawdzony system porzadkowania tresci, to wielka spolecznosc.
ToRepublic to organizacja przestepcza w ktorej wylapano 60% bossow ale nadal jest w stanie funkcjonowac.
Do dziela Torowicze, teraz albo nigdy. Jezeli nie wykonacie tego ruchu, sluzby beda na zmiane zakladac i
zamykac fora w torze a wraz z nimi ludzi.
Dzialajcie a 2016 bedzie nalezal do nas.
Otworzmy Puszke Pandory.
Lucypher i Mbank_konsultant
—–BEGIN PGP SIGNATURE—– iQF8BAEBCgBmBQJWgED4XxSAAAAAAC4AKGlzc3Vlci1mcHJAbm90YXRpb25zLm9w ZW5wZ3AuZmlmdGhob3JzZW1hbi5uZXQ3MDNFRjI4MjFFMUM1Rjk4QzQzRDBFNzRC RTM3NDU1MkJFMDJFQ0ExAAoJEL43RVK+AuyhiYMH/1FBLTw6rSkM+WiCV1F2fYpl JwG+R2TM6FhIegJs/joaomtqAUSPYtdm69AD1KEaKrtkuDkELz7GHWJGUMQBp+x3 UQVf1zZe8ORdtYECl0KeCLjPZOXnn5kI5zWc8eTEfRN1pmta6W04O9pXWPpX5GP7 lo2zvX8FPusuLeBkWiBkKz+L5uaiG+F0uCtGUEj69chdfiNzcrumNolxvsnoc3nS 6qcwGmvz5gd2cvECZhWQsW7I+9NuAvZBl2TvyNnNLntbIErabIizcjpZdo3ITXVs dzge5FIf75ledJ514eUw4frIcjfawElx0hpXjd8FDtdMYBvUfQfIudiNjNsgsB4= =HoVk —–END PGP SIGNATURE—–
Oto ostatni podpis ze strony http://nco5ranerted3nkt.onion, tak jak powyzej:
—–BEGIN PGP SIGNATURE—– iQF8BAEBCgBmBQJWgED4XxSAAAAAAC4AKGlzc3Vlci1mcHJAbm90YXRpb25zLm9w ZW5wZ3AuZmlmdGhob3JzZW1hbi5uZXQ3MDNFRjI4MjFFMUM1Rjk4QzQzRDBFNzRC RTM3NDU1MkJFMDJFQ0ExAAoJEL43RVK+AuyhiYMH/1FBLTw6rSkM+WiCV1F2fYpl JwG+R2TM6FhIegJs/joaomtqAUSPYtdm69AD1KEaKrtkuDkELz7GHWJGUMQBp+x3 UQVf1zZe8ORdtYECl0KeCLjPZOXnn5kI5zWc8eTEfRN1pmta6W04O9pXWPpX5GP7 lo2zvX8FPusuLeBkWiBkKz+L5uaiG+F0uCtGUEj69chdfiNzcrumNolxvsnoc3nS 6qcwGmvz5gd2cvECZhWQsW7I+9NuAvZBl2TvyNnNLntbIErabIizcjpZdo3ITXVs dzge5FIf75ledJ514eUw4frIcjfawElx0hpXjd8FDtdMYBvUfQfIudiNjNsgsB4= =HoVk —–END PGP SIGNATURE—–
A tu podpis z 22.12.2015 z Niebezpiecznika, ktory jest AUTENTYCZNY[w przeciwienstwie od tego na http://nco5ranerted3nkt.onion]
na stronie niebezpiecznik.pl/post/wyciek-bazy-torepublic
Post nr 585993
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
To nie pierwszy i nie ostatni atak na ToRepublic.
Najwidoczniej jestesmy bardzo groznym przeciwnikiem dla policji, ze az tak sie staraja.
Bierzcie przyklad z Kranga i stawiajcie swoje serwisy. Wszystkich nas nie zhakuja.
Wrocimy po swietach.
pzdr,
Mbank
—–BEGIN PGP SIGNATURE—–
iQF8BAEBCgBmBQJWeUk/XxSAAAAAAC4AKGlzc3Vlci1mcHJAbm90YXRpb25zLm9w
ZW5wZ3AuZmlmdGhob3JzZW1hbi5uZXQ3MDNFRjI4MjFFMUM1Rjk4QzQzRDBFNzRC
RTM3NDU1MkJFMDJFQ0ExAAoJEL43RVK+Auyh5fYH/1I8kH53F+7tDlxsdv1aO53r
aM4aoALY8qLPakjcf8ijxZHkvRPm0SEUL1tf3t/KHPM0G5KuR9wNEVL8///ZFRBG
zItT84STLmy6frxYu+hddzKENci/wYPFrBmEIsaBZuVKC6IyPV6qXVphzmNyi/7v
w4Gl96eXLFKSDnmfVthLKQiBwKBmny8KJYUqjEuYHjTNg2vmm/R96XpNKv/cuDmO
AQf/7fCU+diJkng+f4vtgSp8N51r3tOXw4SV89Yi+lbcTzX9WjWoXUvWnEY4K4OO
RYcVY/Fykhg/7/e2RSvefPrtinazj/w/SN73bWwduv+FwItXpkrHEMEIjywxAF8=
=O4CU
—–END PGP SIGNATURE—–
Czy jest to widoczne?
iQF8BAEBCgBmBQJWeUk/XxSAAAAAAC4AKGlzc3Vlci1mcHJAbm90YXRpb25zLm9w
ZW5wZ3AuZmlmdGhob3JzZW1hbi5uZXQ3MDNFRjI4MjFFMUM1Rjk4QzQzRDBFNzRC
RTM3NDU1MkJFMDJFQ0ExAAoJEL43RVK+Auyh5fYH
Pierwsze dwie linijki kodu /czesc trzeciej/ podpisu sa identyczne! Dalej nastapila modyfikacja i mistyfikacja. Tylko pierwszych 36B powinno byc takie samo.
Wiadmosc zostala tak okaleczona technicznie aby program do weryfikacji nie ruszyl. To oznacza ze wiadomosc nie jest podpisana przez mbank_konsultant oraz cala domena zostala przejeta.
Krang to idiota, z niego można brać przykład tylko przy piciu pół litra z gwinta – będzie wiedział o co chodzi, niektórzy się nie nauczą żeby nie używać nicków takich samych jak przezwisko z podstawówki i zmieniać trochę sposób wyrażania się…
Witajcie, Lucypher i Mbank siedzieliscie kiedykolwiek na jakims ts? Bo byla dziura ostatnio, ze mozna było zainstalowac np. keyloggera danej osobie.
postaw sobie lokalnie szkielet i utworz konto i naryp plusikow :D
Jak dodać sobie konto? Szkielet postawiłem, przez niego nie moge dodac konta bo blokuje ją wpłata BTC, przez baze danych tez sie nie da chyba bo nie wiem jak zahaszowac hasło i wpisać je w takiej postaci jak inne dane w bazie…
Ma ktoś już odhashowane hasło do obojetnie jakiego konta z dostepem do kazdego działu?
Z chęcią bym poczytał…
https://youtu.be/vvlNzNxTXAU?t=36m16s :)
http://iprdvbf4rxykyvvs.onion REAKTYWACJA TR !!
ToRepublic nigdy nie zginie
http://iprdvbf4rxykyvvs.onion
Nie da się poczytać artykułów z tej bazy danych.
da :)
http://i.imgur.com/u3mo9LS.png
a czy możesz udostępnić jakoś do poczytania ?
https://iprdvbf4rxykyvvs.onion.to/
Wchodzac w szczegoly tego podpisu z torepublic…;)
Pierwsze 18 znakow podpisu powinno byc takie samo,
dalej 2 znaki podpisu powinny byc rozne
i dalej 16 znakow powinno byc roznych
co daje lacznie 36 pierwszych znakow, gdzie tylko 2 sa rozne, reszta taka sama — w prawidlowo podpisanej wiadomosci GnuPG v1 – tak to wyglada eksperymentalnie.
W falszywym podpisie na torepublic wszystkie pierwsze 36 znakow jest takie samo, co matematycznie jest prawie rowne zeru. Kolejne ~135 znakow jest rowniez identyczne, co calkowicie podwaza jakakolwiek autentycznosc wiadomosci. Te kolejne ~135 znakow, pokazuje wyraznie, ze calosc zostala sciagnieta z posta mbanka z niebezpiecznika z 22.12.2015.
Cala ta mistyfikacja zostala skrzetnie ukryta w sprytnym okaleczeniu wiadomosci, usuwajac z niej pewne znaki (nowa linia, puste miejsce itd), aby podczas proby weryfikacji /recznej czy automatycznej w programie/ nic nie ruszylo. Kto ma program do weryfikacji niech sam sie przekona jakie to proste :)