|
|
Пишет dolboeb (![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small} dolboeb)@ 2013-12-02 04:44:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
О взломе этого ЖЖ
Не прошло и 13 лет с момента его регистрации, как этот ЖЖ был, наконец, кем-то взломан.
В воскресенье в 16:13:06мск неизвестный злоумышленник с IP-адресом 213.108.248.149 залогинился в мой аккаунт с машины под Windows NT 6.1 и разместил тут текст статьи «Ведомостей» от 28.11.2013.
Одновременно такому же взлому подверглись ещё 7 журналов:![[info]](http://lj.rossia.org/img/userinfo-lj.gif)
borisakunin@lj, drugoi@lj, mi3ch@lj, navalny@lj, puerrtto@lj, pryf@lj и sobchak_xenia@lj.
Во всех этих журналах была размещена та же самая статья из «Ведомостей».
Я всего этого веселья, увы, не застал, потому что находился в это время на борту 775-го рейса S7, где-то между Красноярским и Пермским краем. А когда долетел — уже никакого поста в моём ЖЖ не было, и пароль от аккаунта был обнулён. Так что даже полюбоваться на красоту негде. Но, судя по полученным на этот пост комментариям, провисело оно там около трёх часов (до 19:23мск) — и удалено было, скорее всего, службой техподдержки ЖЖ, в рамках их усилий по ликвидации последствий взлома.
Никакого инсайда по поводу этой атаки у меня нет, но есть некоторые общие соображения.
Я не думаю, что акция носила сколько-нибудь политический или заказной характер. Скорее, какие-то какеры додумались до способа получить административные полномочия на сервере ЖЖ, способ сработал — и, чтобы уведомить мир о своём успехе, они разместили в журналах, к которым получили доступ, первую попавшуюся статью.
Если бы за этим взломом стояли политические заказчики, то они б сперва придумали текст, а потом уж стали б его размещать. А если б за атакой стояла кибершпана, бравшая на себя ответственность за взломы аккаунтов ЖЖ в прежние годы, то легко догадаться из опыта, какая судьба постигла бы все эти журналы. Они были бы, скорее всего, уничтожены.
Полностью согласен с оценкойkukutz@lj, который в Твиттере написал:
Так что я склонен даже думать, что злоумышленники не получали доступа к паролям изменённых ими журналов, а подобрали ключик к одному аккаунту администратора, для которого знание чужих паролей не требуется, чтобы вносить изменения в базу. Впрочем, это уже тонкости, которые вряд ли интересны читателю — и, независимо от того, что я думаю, пароль в таких случаях всё равно обязательно нужно менять.
Спасибо всем, кто беспокоился. Надеюсь, дырку залатают, и новых взломов по такой технологии не случится. Не надеюсь, что нам при этом объяснят, в чём состоял конкретный механизм получения доступа.
Отдельное спасибо Султану Сулейманову из TJournal, первым сообщившему мне о взломе.
Живём дальше.
Не прошло и 13 лет с момента его регистрации, как этот ЖЖ был, наконец, кем-то взломан.
В воскресенье в 16:13:06мск неизвестный злоумышленник с IP-адресом 213.108.248.149 залогинился в мой аккаунт с машины под Windows NT 6.1 и разместил тут текст статьи «Ведомостей» от 28.11.2013.
Одновременно такому же взлому подверглись ещё 7 журналов:
borisakunin@lj, drugoi@lj, mi3ch@lj, navalny@lj, puerrtto@lj, pryf@lj и sobchak_xenia@lj.Во всех этих журналах была размещена та же самая статья из «Ведомостей».
Я всего этого веселья, увы, не застал, потому что находился в это время на борту 775-го рейса S7, где-то между Красноярским и Пермским краем. А когда долетел — уже никакого поста в моём ЖЖ не было, и пароль от аккаунта был обнулён. Так что даже полюбоваться на красоту негде. Но, судя по полученным на этот пост комментариям, провисело оно там около трёх часов (до 19:23мск) — и удалено было, скорее всего, службой техподдержки ЖЖ, в рамках их усилий по ликвидации последствий взлома.
Никакого инсайда по поводу этой атаки у меня нет, но есть некоторые общие соображения.
Я не думаю, что акция носила сколько-нибудь политический или заказной характер. Скорее, какие-то какеры додумались до способа получить административные полномочия на сервере ЖЖ, способ сработал — и, чтобы уведомить мир о своём успехе, они разместили в журналах, к которым получили доступ, первую попавшуюся статью.
Если бы за этим взломом стояли политические заказчики, то они б сперва придумали текст, а потом уж стали б его размещать. А если б за атакой стояла кибершпана, бравшая на себя ответственность за взломы аккаунтов ЖЖ в прежние годы, то легко догадаться из опыта, какая судьба постигла бы все эти журналы. Они были бы, скорее всего, уничтожены.
Полностью согласен с оценкой
kukutz@lj, который в Твиттере написал:Так что я склонен даже думать, что злоумышленники не получали доступа к паролям изменённых ими журналов, а подобрали ключик к одному аккаунту администратора, для которого знание чужих паролей не требуется, чтобы вносить изменения в базу. Впрочем, это уже тонкости, которые вряд ли интересны читателю — и, независимо от того, что я думаю, пароль в таких случаях всё равно обязательно нужно менять.
Спасибо всем, кто беспокоился. Надеюсь, дырку залатают, и новых взломов по такой технологии не случится. Не надеюсь, что нам при этом объяснят, в чём состоял конкретный механизм получения доступа.
Отдельное спасибо Султану Сулейманову из TJournal, первым сообщившему мне о взломе.
Живём дальше.
