Хакер с ником USDoD получил доступ к данным более чем 80 тыс. пользователей портала InfraGard, который принадлежит ФБР, и теперь продаёт их в даркнете.

InfraGard — принадлежащий ФБР портал, который используется спецслужбами для обмена информацией с предприятиями о кибератаках и других угрозах. В состав InfraGard входят специалисты по безопасности из государственных учреждений и крупных корпораций. Задача ресурса состоит в том, чтобы информировать как ФБР, так и фирмы об угрозах кибербезопасности путем обмена информацией. Перед тем, как стать пользователем сервиса, нужно пройти проверку ФБР.

Обмен информацией является хорошим способом защитить себя и друг друга для многих компаний, заботящихся об информационной безопасности. Однако что-то пошло не так, и хакеру под ником USDoD удалось скачать внутреннюю базу данных. Сейчас она продаётся за 50 тысяч долларов на сравнительно новом форуме по киберпреступности Breached. База включает имена и контактную информацию десятков тысяч участников InfraGard.

Представитель одной из компаний кибербезопасности сумел поговорить с USDoD и узнал, что тот подал заявку на открытие аккаунта на InfraGard под видом настоящего директора крупной фирмы. Злоумышленник заполнил заявку, используя имя, номер социального страхования, адрес электронной почты (настоящей почты, которую хакер контролировал), номер телефона и другие личные данные исполнительного директора этой компании. Настоящий директор даже не знал об этом. Он заявил, что ФБР не связывалась с ним и не просила подтвердить личность. Министерство обороны США подтвердило информацию о том, что регистрация прошла по настоящим данным.

Хотя хакер не ожидал, что его примут (ожидание длится около трёх месяцев — всё это время кандидата на вступление в ряды пользователей InfraGard должны проверять), в начале декабря он получил электронное письмо от InfraGard, в котором говорилось, что кандидатура проверена и одобрена, аккаунт открыт. 

Хотя система InfraGard ФБР по умолчанию требует многофакторной аутентификации, пользователи могут выбирать между получением одноразового кода через SMS или по электронной почте. Поскольку доступ к почте директора фирмы у USDoD был, он и выбрал этот вариант.

USDoD заявил, что пользовательские данные InfraGard были легко доступны через интерфейс прикладного программирования (API), встроенный в несколько ключевых компонентов веб-сайта, которые помогают членам InfraGard подключаться и общаться друг с другом. Злоумышленник  применил Python-скрипт для извлечения и данных, которые содержали информацию о каждом пользователе.

Но этого показалось мало, и USDoD некоторое время продолжал изображать из себя реального директора фирмы и общался с другими членами InfraGard в надежде получить более ценную информацию.

На форуме USDoD указал, что только 47 000 записей содержат уникальные email-адреса участников InfraGard, а среди похищенных им данных нет ни номеров социального страхования, ни дат рождения. И соглашается, что запрашиваемая им цена высоковата за такого рода базу данных. Однако, по его признанию, это сделано специально, чтобы иметь возможность поторговаться и получить ту цену, которую он хочет.

Сейчас инцидент расследует ФБР, которое отказывается от комментариев. Но история получилась занятная.


Что ещё интересного есть в блоге Cloud4Y

→ Информационная безопасность и глупость: необычные примеры

→ NAS за шапку сухарей

→ Как распечатать цветной механический телевизор на 3D-принтере

→ Создание e-ink дисплея с прогнозом погоды

→ Аналоговый компьютер Telefunken RA 770

Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем только по делу. А ещё напоминаем про второй сезон нашего сериала ITить-колотить. Его можно посмотреть на YouTube и ВКонтакте.

Комментарии (1)


  1. mrkaban
    21.12.2022 08:50

    Опять же, саму систему не взломали, взломали почту директора фирмы и от его лица подали заявку на добавление в систему, из которой просто собрали граббером всю инфу.

    Всё к тому, что нужно отслеживать действия пользователя внутри сайта, так как обзванивать всех регистрирующихся практически невозможно. Это же не просто позвонить по указанному в заявке номеру нужно, а посмотреть по базам и справочникам кто владелец и его реальные контактные данные и по ним позвонить.