Stare przysłowie mówi, że każda baza danych prędzej czy później trafi w niepowołane ręce. Los ten podzieliła także lista klientów i sprzedawców drugiego największego sklepu z narkotykami w historii, a my dostaliśmy niepowtarzalną okazję jej analizy.
W połowie października opisywaliśmy wpadkę Black Market Reloaded, którego fragment kodu źródłowego przez przypadek został ujawniony na skutek błędu administratora. Okazuje się, że wyciekł nie tylko kod źródłowy serwisu, ale także baza 332 tysięcy kont użytkowników. Poniżej przedstawiamy statystyki dotyczące użytkowników serwisu oraz polskie ślady.
Zawartość bazy
Dzięki uprzejmości jednego z Czytelników z plikiem mogliśmy się zapoznać już jakiś czas temu. Wobec planowanego zamknięcia BMR postanowiliśmy opublikować naszą analizę dostępnych danych. Łowców sensacji uspokajamy – nie, nie widzieliśmy w bazie ani haseł dostępowych, ani haseł służących do potwierdzania wypłat środków z serwisu. Było za to całkiem sporo innych, ciekawych danych.
Wszystko wskazuje na to, ze baza wyciekła tego samego dnia, którego serwis przez krótką chwilę wyświetlał swój kod źródłowy. Prawdopodobnie administrator coś przekombinował i zawartość plików PHP była widoczna dla każdego użytkownika, co doprowadziło do ujawnienia danych do logowania do bazy danych i w konsekwencji wycieku listy użytkowników.
Baza zawiera wpisy 332 079 użytkowników, poczynając od konta administratora backopy z 9 czerwca 2011 a kończąc na kontach zarejestrowanych 14 października 2013. Każdy rekord składa się z następujących danych: ID, pseudonim, kategoria, data rejestracji, data ostatniego logowania, reputacja, opis, klucz PGP, nazwa (z klucza), adres email (z klucza), adres BTC. 12 202 użytkowników podało swój klucz PGP, 9992 rekordów zawiera również adres email (często fałszywy, choć nie zawsze), 108 026 rekordów posiada adres BTC.
Nie wiemy, czy przy okazji wyciekły również hasła użytkowników. Backopy twierdził, że były one przechowywane w postaci bardzo skomplikowanych haszy, jednak niewykluczone, że włamywacz uzyskał do nich dostęp. Wskazuje też na to fakt, że krótko po ogłoszeniu planów zamknięcia serwisu został on okradziony na kwotę 200 BTC w ciągle niewyjaśniony sposób.
Czy 332 tysiące użytkowników to dużo? Nie wiemy, ilu użytkowników miał Silk Road w momencie zamknięcia, ale znamy ich liczbę w dniu 23 lipca 2013, w momencie przechwycenia zawartości serwera przez FBI – było ich 957 079. Tego samego dnia BMR miał 260 800 zarejestrowanych kont, czyli ok. 4 razy mniej niż SR. To zestawienie chyba jednak nie oddaje prawidłowo skali działania obu serwisów. Na podstawie danych publikowanych przez Backopy wiadomo, że obrót BMR od lutego 2012 do kwietnia 2013 (15 miesięcy) wyniósł około 2,85 mln dolarów (na podstawie szacunku wysokości słupków na wykresie), podczas kiedy według FBI obrót Silk Road między lutym 2011 a lipcem 2013 (30 miesięcy) wynosił 1,2 mld dolarów. Zakładając zatem, że możemy zaufać zarówno Backopy jak i FBI, różnica jest ogromna.
BMR w momencie wycieku bazy miał 323 034 kont klientów, 5692 kont sprzedawców 1 poziomu, 3197 kont sprzedawców 2 poziomu (mogących reklamować się np. w sekcji „narkotyki”), 152 konta zaznaczone jako „oszust”, 3 konta pracowników wsparcia (LeContog, Ilovespaghetti, sh4d3r1950) i 1 konto administratora – backopy.
Historia rejestracji użytkowników, czyli problemy SR
Baza, z która mieliśmy okazję się zapoznać, zawiera pełną historię dat rejestracji wszystkich użytkowników serwisu od czerwca 2011 do października 2013. Przez 859 dni w serwisie konta założyło ponad 332 tysiące użytkowników. Wzrost tej liczby był dość równomiernie rozłożony w czasie – z kilkoma wyjątkami. Udało nam się zidentyfikować prawdopodobne powody zauważalnych anomalii – praktycznie za każdym razem są one silnie skorelowane z dostępnością największego konkurenta Black Market Reloaded, czyli serwisu Silk Road.
Pierwszy zauważalny na wykresie niecodzienny wzrost liczby użytkowników miał miejsce ok. 20-26 października 2011. Forum Silk Road wskazuje, że właśnie wtedy SR borykał się z problemami i bywał niedostępny. Korzystał z tego BMR, który zamiast zwyczajowych 100-200 rejestracji dziennie notował ich 300-600.
Kolejny obserwowalny wzrost liczby użytkowników miał miejsce na przełomie stycznia i lutego 2012. Zamiast 300-400 użytkowników dziennie, przez kilka dni poziom rejestracji wynosił 500-800. Wiązało się to zapewne z ponownymi problemami z dostępnością Silk Roadu.
Następna duża anomalia ma miejsce dopiero 7 miesięcy później. Wzrost rejestracji obserwowany od 9 do 14 listopada (5,5 tysiąca użytkowników w ciągu 5 dni) BMR zawdzięcza poważnym problemom z dostępnością Silk Roadu. SR był przez kilka dni praktycznie nieosiągalny, co administracja tłumaczyła koniecznością dostosowania infrastruktury do napływu ogromnej liczby nowych klientów.
Czwarty raptowny wzrost liczby rejestracji na przełomie kwietnia i maja 2013 (9 tysięcy nowych użytkowników w ciągu tygodnia) był z kolei spowodowany intensywnymi atakami DDoS na Silk Road. Silk Road w dniach od 24 kwietnia do 3 maja był w dużej mierze niedostępny dla użytkowników, którzy szukali alternatywnych miejsc zakupów.
Ostatni skok nowych rejestracji jest już oczywisty i spowodowany zamknięciem Silk Roadu przez FBI. BMR przeżył wtedy prawdziwy najazd. Zamiast tradycyjnych ok. 500 kont dziennie naraz pojawiło się ich dziesięć razy więcej i trend ten utrzymywał się co najmniej przez tydzień. Siódmego dnia serwis wyłączył możliwość rejestracji nowych użytkowników i przez 3 dni był dostępny tylko dla sprzedawców. Potem powrócił, by ponownie rejestrować po kilka tysięcy kont dziennie.
Co ciekawe inne wydarzenia na „scenie” nie wpływały na liczbę nowych rejestracji. W szczególności zamknięcie mocno reklamowanego serwisu Atlantis pod koniec września nie znalazło odbicia w statystykach rejestracji nowych użytkowników BMR. Sumarycznie liczba użytkowników serwisu przyrastała tak:
Poziom aktywności użytkowników
Wiemy już, że użytkowników było mnóstwo – jednak co możemy powiedzieć o ich aktywności? Dostępnym w bazie wskaźnikiem jest data ostatniej wizyty. W ciągu 2 tygodni października serwis odwiedziło przynajmniej raz 51 276 użytkowników, z czego 36 738 to konta świeżo założone w tym samym okresie. Trudno określić, jaka część tej puli odwiedziła serwis tylko z ciekawości, ale ponad 14 tysięcy z nich miało tam już wcześniej swoje konto.
Innym sposobem określenia liczby aktywnych użytkowników w oparciu o dostępne dane jest weryfikacja, ile kont zostało opuszczonych wkrótce po założeniu. Analiza pokazuje, że daty założenia konta i ostatniego logowania są identyczne dla 226 tysięcy użytkowników, a kolejne 19 tysięcy logowało się ostatni raz dzień po założeniu konta. Można zatem przyjąć, że ponad 73% wszystkich kont w serwisie zostało założonych jedynie po to, by zajrzeć do środka (dostęp do serwisu wymagał darmowej rejestracji). Oznacza to także, że około 87 tysięcy użytkowników zajrzało ponownie do serwisu co najmniej dwa dni po założeniu konta.
Polskie ślady
Wśród ponad 300 tysięcy kont można natrafić na takie, które prawdopodobnie należą do naszych rodaków. Czasem trafiają się pseudonimy znane z polskich forów w sieci Tor:
38973,OneAnother,Customer,1328101200,1332334800 51999,DziwnyTyp,Customer,1331643600,1331643600 158195,mistrzu78,Customer,1359637200,1359723600,Zdzisław Dyrma 173394,c0untzero,Customer,1362056400,1362056400 177645,vykk,Customer,1362747600,1362834000,Paweł [cut],[cut]@wp.pl 194419,LeComteDeMonteCristo,Level 2 Seller,1364907600,1364907600,kyber,[cut]@interia.pl 251550,krang,Customer,1372946400,1372946400,krang,[email protected]
Oczywiście może być to czysty zbieg okoliczności. Część nazw użytkowników również pośrednio może wskazywać na konta Polaków:
MilekPL, MateuszPL, RazielPL, kamilek22lPL, vendorPL, BorysekPL, KanaliaPL, MeloniastyPL, PolskaPL, H@rdcorePL, PPLkupuje, polska2222, polska123, PolskaPL, polskagola, polskadodoo, sushipolska, polskakurwa, polskafire123
Tak samo jak i kont poczty elektronicznej:
71090,tormail.wp.pl,Customer 184220,CaNtSeE,Customer,[cut]@o2.pl 186870,salamalejkum,Level,2,Seller,,salamalejkum,[email protected] 196719,[email protected],Customer 219010,kaban99,Level,2,Seller,mariusz.[cut][email protected] 228603,reach,Customer,CERT,GOV,PL,[email protected] 247811,0dayz,Customer,Underground,(no,commnet),[email protected] 294671,gjako,Customer,[email protected]
Niektórzy sprzedawcy wyraźnie wskazują, że ich towar pochodzi lub jest wysyłany z Polski:
70298,mykey,Level 1 Seller,1338127200,1378994400,Located in EU, selling FH invites and some other things sometimes, for example anon prepaid visa cards from Poland. 302781,Silent Hawk,Level 1 Seller,1380722400,1380722400,I distribute Anonymous VCC\s and ATM Mastercards [cut] Each card is shipped straight from Poland to your address.
Dziesięciu największych sprzedawców
Baza zawiera także informacje o reputacji użytkownika. Poniżej znajdziecie dane 10 kont, których reputacja była najwyższa. Co ciekawe, konto z pozycji 9 zostało oznaczone jako konto oszusta – TooLegit najpierw uzyskał świetną reputację, a następnie oszukał wiele osób.
1394,CaliBud2012,Level 2 Seller 1391,fake,Level 2 Seller 1145,kukkaavaan,Level 2 Seller 801,demonfifa,Level 1 Seller 660,Prodige,Level 2 Seller 630,valid_CC_info,Level 1 Seller 540,omx,Level 2 Seller 532,moramaru,Level 2 Seller 462,TooLegit,SCAMMER 455,Apteekki,Level 2 Seller
Podsumowanie
Ograniczona zawartość udostępnionej bazy, a konkretnie brak haseł użytkowników sprawia, że ujawnione dane mają większą wartość dla badaczy podziemnego rynku niż dla amatorów cudzej własności. Nie można jednak wykluczyć, że gdzieś na czyimś dysku leży również druga część bazy, zatem jeśli przez zupełny zbieg okoliczności i tylko dla celów naukowych mieliście konto na BMR i czekacie na jego ponowne otwarcie, to pamiętajcie, by zaraz po dostaniu się do panelu użytkownika zmienić hasło.
Komentarze
Jestem sławny ! jupikajej maderfaker :D
A pytaliście może CERT.GOV.PL o komentarz nt. tego spisu kont? :)
Znaleziono więcej Polaków na liście:
http://nco5ranerted3nkt.onion.to/forum/viewtopic.php?id=1352