szukaj

17.07.2012 | 21:22

avatar

Adam Haertle

Wyciekła baza użytkowników Dropboxa?

Tym razem nie mamy do czynienia z listą kont lub hashy opublikowaną na rosyjskim forum. Zamiast tego, na forum Dropboxa pojawiło się mnóstwo skarg,użytkowników, którzy otrzymali spam na adresy znane tylko Dropboxowi, a wszystkie wiadomości reklamują to samo kasyno. Jak mogło do tego dojść?

Od wczoraj na forum wsparcia Dropboxa zaczęły pojawiać się wpisy osób, które otrzymały spam na adres email, który podawały wyłącznie podczas rejestracji w usłudze tej właśnie firmy. Również na Twitterze pojawia się coraz więcej raportów o spamie na konta powiązane z Dropboxem. Akcja spamowania wydaje się mieć dość charakterystyczny przebieg.

Spam tylko dla Niemców?

Pierwsi na forum zgłosili się użytkownicy z Niemiec, posiadający adresy email w narodowych domenach niemieckich lub posiadających adresy email w innych domenach, ale korzystający z usługi biznesowej i niemieckiego adresu pocztowego, na który mają być wystawiane faktury. Wszystkie emaile zgłoszone w pierwszych godzinach były w języku niemieckim i reklamowały kasyno internetowe Euro Dice Exchange.

Jest i wersja angielska

Po kilku godzinach pojawiły się również raporty od użytkowników z Wielkie Brytanii, korzystających z adresów email w domenie .co.uk. Otrzymywali oni identyczny spam, lecz w wersji angielskiej. Wszyscy raportujący użytkownicy podkreślają, że spam otrzymali na konta, które podali jedynie rejestrując się w usłudze Dropboxa. Jeden z nich dodał, że email ze spamem miał w polu „do wiadomości” adres email jego znajomego, którego zaprosił do Dropboxa.

Spam otrzymywany przez użytkowników (źródło: Dropbox)

Jak mogło do tego dojść?

Istnieje dużo możliwości tłumaczących tak specyficznie ukierunkowany spam – dane mogły zostać wyniesione przez kogoś z wewnątrz firmy, mógł zostać omyłkowo sprzedany dysk twardy z bazą użytkowników, mogły też zostać po prostu wykradzione z bazy danych firmy – jak do tej pory nie udało się zidentyfikować żadnego możliwego scenariusza, w którym Dropbox nie byłby winny wycieku. Nie stwierdzono też korelacji między używaniem wersji mobilnej a otrzymywaniem spamu.

Dropbox do tej pory nie był w stanie wyjaśnić zaistniałej sytuacji – ciągle czekamy na wyniki trwającej analizy. Tymczasem proponujemy – na wszelki wypadek – zmianę hasła do konta Dropboxa.

Aktualizacja 08:45

Na forum Dropboxa pojawiła się informacja, że kolejna fala spamu w języku holenderskim trafiła do użytkowników z adresami email w domenie .nl. Nadal brak wyjaśnień Dropboxa – jego przedstawiciel poinformował tylko, że do analizy możliwego wycieku została zaangażowana zewnętrzna firma.

Aktualizacja 13:15

Jeden z użytkowników forum Dropboxa poruszył ciekawy wątek – otrzymał identyczny spam również na adresy zarejestrowane w usługach LinkedIn, LastFM oraz Monsterboard, co może sugerować, że spamer zakupił bazy pochodzące z ostatnich dużych wycieków powiązanych z rosyjskim forum łamaczy haseł.

Aktualizacja 14:00

Kilkanaście różnych adresów www, znajdujących się w linkach rozsyłanych przez spamerów, prowadzi (przez IFRAME) do dwóch stron, http://eudiceexchange.com oraz http://eurodice-exchange.com, zarejestrowanych dwa dni temu na fałszywe dane. Obie zostały zarejestrowane przez chińską firmę BizCN, a ich hosting znajduje się na terenie Rosji. Na obu stronach istnieje wiele wersji językowych tej samej witryny: angielska, niemiecka, włoska, francuska, holenderska, portugalska, hiszpańska, szwedzka i norweska. Co ciekawe, na razie brak wersji w innych językach, co może oznaczać, że Polska na razie nie znajduje się na liście celów spamerów.

Jedyną działającą funkcjonalnością wszystkich witryn jest pobranie pliku o nazwie SetupClubdice_21756e.exe (md5: 881e3d78c9ce1fd9a2a6372219b6cc8b), który wg VirusTotal znajduje się na liście „podejrzanych” w 7 z 42 silników antywirusowych a pierwszy raz został napotkany w styczniu 2011. Również Anubis nie widzi w pliku żadnego bezpośredniego zagrożenia.

Analiza narzędziem Eureka wskazuje, że pobierany plik jest częścią programu partnerskiego AffClub, oferującego do $150 za każdego nowego zrekrutowanego gracza kasyna lub procentowy udział w zyskach z jego gry.

Powrót

Komentarze

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wyciekła baza użytkowników Dropboxa?

Komentarze