Spektakularna kompromitacja narkotykowego bazaru „Cantina”

Po upadku Silk Road nastąpił wysyp jego następców. Wśród ok. 30 podjętych prób przejęcia rynku jedna okazała się wyjątkowo nieudana – kilka godzin po uruchomieniu serwisu Cantina został on całkowicie skompromitowany przez kilku włamywaczy.

Uruchomienie jakiegokolwiek serwisu w sieci bez sprawdzenia podatności na błędy typu SQLi można określić jako co najmniej karygodne zaniedbanie. Jak więc nazwać wystawienie na świat nielegalnego sklepu z narkotykami, do którego w ciągu kilku minut mógł się włamać każdy średnio uzdolniony nastolatek?

Przechwałki administratora

Około siedmiu dni temu ruszył nowy sklep z narkotykami w sieci Tor – Cantina. Przez pierwszy tydzień rejestrowali się w nim jedynie sprzedawcy, a wczoraj ruszył pełną parą. Oczywiście administrator serwisu oprócz opublikowania filmu reklamowego wielokrotnie zapewniał o jego całkowitym bezpieczeństwie, doświadczeniu zaangażowanych programistów i odporności na wszelkie ataki.

Przechwałki serwisu (źródło: DeepDotWeb)

Dobę temu w sieci pojawił się pierwszy sygnał, że ze sklepem jest coś nie tak. W serwisie Reddit znalazł się przepis na nieskończone środki. Wystarczyło tylko przesłać zamówienie z negatywną ilością towaru, by ukraść środki z konta sprzedawcy. Paradne, prawda? A to był tylko początek.

Przedstawienie miesiąca

Krótko potem inny Redditor oznajmił, że znalazł podatność SQLi w formularzu logowania. Administrator serwisu odpowiedział w zdecydowanym tonie zaprzeczając odkryciu i informując, że wypłaci 5 BTC każdemu, kto znajdzie w serwisie SQLi.

100% bezpieczeństwa (źródło: DeepDotWeb)

Długo czekać nie musiał. W konkursie wzięło udział kilku internautów. W ciągu kilkunastu minut okazało się, że w serwisie znajduje się wiele miejsc, w które da się wstrzyknąć polecenia SQL. Niestety administrator nadal twierdził, że zgłoszenia nie spełniały warunków jego konkursu i nie pozwalały na dostęp do haseł użytkowników, czym rozpętał prawdziwą burzę.

Całkowita kompromitacja

Internauci, rozbawieni twierdzeniami administratora, przystąpili do frontalnego ataku. W ciągu kilku godzin wydobyli pełną bazę ponad 600 użytkowników. Szybko okazało się, że hasła użytkowników przechowywane są w postaci hasza MD5, a ich PINy (niezbędne do dokonywania wypłat) otwartym tekstem! Jakby tego było mało, jeden z włamywaczy ogłosił nawet konkurs pt. „podaj mi swój login a ja podam Ci hasło”, w którym kilka osób potwierdziło prawdziwość danych. Przez krótką chwilę w ofercie sklepu pojawiły się nawet durszlaki.

Durszlak w ofercie sklepu

Okazało się także, że wbrew twierdzeniom założycieli serwisu, system wewnętrznych wiadomości wcale nie jest szyfrowany. Szybko padły też hasze MD5 kont administratora.

admin:Password1
admincantina:AAAaaa111

Ewidentnie widać tu godną konkurencję dla osób odpowiedzialnych za zarządzanie witryną premier.gov.pl. Kolejny konkurent w walce o 5 BTC podał jeszcze takie dane:

Host: localhost:3002
Login: root
Password: Ca(...)23
Database: thecantina
I'll send you the root password via PM.

Domyślacie się, jak brzmiało hasło? Można także było zajrzeć do skrzynki administratora.

Podgląd skrzynki administratora

Były jednak pewne plusy

Jak myślicie, jak może brzmieć dobra informacja związana z całą sytuacją (oprócz tego, że do włamania doszło pierwszego dnia a nie po roku działania serwisu)? Otóż najlepsza informacja to problemy z wypłatą środków. Mechanizmy wycofywania BTC były tak zepsute, że nie dało się okraść użytkowników (sami tez nie mogli swoich BTC podjąć z serwisu).

Co ciekawe, administrator w końcu przyznał się, że w serwisie istniał „jeden błąd”, który wymagał „zaawansowanego ataku SQLi” do wyciągnięcia danych. Obiecał także, że wszyscy, którzy dokonali zakupów za pośrednictwem serwisu, otrzymają bonus w wysokości 10 dolarów. Jeden z włamywaczy skwitował to słowami „to będzie was kosztować całe 30 dolarów”).

Na deser jeden z włamywaczy opublikował dane – jak twierdzi – firmy hostingowej, gdzie znajdował się serwer Cantina. Ciekawe jak długo serwis jeszcze będzie działał.