Аргентинский хакер, называющий себя Ch Russo, вместе с двумя коллегами обнаружил на сайте известного торрент-трекера The Pirate Bay массу уязвимостей, которые позволили ему получить доступ к интерфейсу администратора сайта со всеми правами.
Ch Russo получил возможность не только узнавать персональные
данные любого пользователя ресурса, включая выставленные на обмен файлы, но
также изменять или удалять такую информацию.
С исследователем в течение некоторого времени общался
известный обозреватель проблем кибербезопасности Брайан Кребс, пишет "Вебпланета". Он получил от Ch Russo
скриншоты, доказывающие, что тот имеет доступ администратора "Пиратской
бухты".
В частности, хакер продемонстрировал журналисту имена и
хэшированные пароли администраторов и модераторов трекера. Также, получив от
Кребса имя пользователя, под которым тот зарегистрировался на "Бухте", Ch Russo
выслал в ответ связанные с этим юзером email-адрес и хэшированный пароль.
Дальнейшее общение окончательно убедило журналиста в том, что у аргентинца
действительно имеется доступ к этой информации.
Ch Russo заверил Кребса, что ни он, ни его товарищи не
вносили никаких изменений в пользовательскую базу The Pirate Bay. Однако он
отдаёт себе отчёт в том, что от доступа к этим данным не отказались бы
организации вроде RIAA или MPAA, действующие от имени правообладателей, чьи
права нарушаются файлообменщиками.
Кребс со своей стороны предпринял попытку связаться с
администрацией "Пиратской бухты". Однако его сообщение, отправленное через
предусмотренную на сайте форму, в течение нескольких дней оставалось без ответа.
Журналист также попытался добиться комментариев от представителя этого ресурса
на официальном IRC-канале, описав суть проблемы и приложив доказательства в виде
полученных от Ch Russo имён и хэшированных паролей администраторов, но был тут
же без разговоров забанен.
Впрочем, по словам Ch Russo, на данный момент админы
"Бухты", похоже, прикрыли веб-интерфейс для доступа к пользовательской базе, так
что они наверняка не оставили сообщение Кребса без внимания. Никаких официальных
сообщений о данном инциденте "Пиратская бухта" пока не делала.
Люди, стоящие за известным трекером, в свое время запустили
VPN-сеть с целью обеспечить файлообменщикам анонимность. Как видим, никакая VPN
не сможет защитить пользователей, если хакеры могут получить доступ
непосредственно к базе. Да и у VPN имеются свои проблемы с
безопасностью.
