О взломе этого ЖЖ
Dec. 2nd, 2013 04:44 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
dolboedНе прошло и 13 лет с момента его регистрации, как этот ЖЖ был, наконец, кем-то взломан.
В воскресенье в 16:13:06мск неизвестный злоумышленник с IP-адресом 213.108.248.149 залогинился в мой аккаунт с машины под Windows NT 6.1 и разместил тут текст статьи «Ведомостей» от 28.11.2013.
Одновременно такому же взлому подверглись ещё 7 журналов:![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
borisakunin, drugoi, mi3ch, navalny, puerrtto, pryf и sobchak_xenia.
Во всех этих журналах была размещена та же самая статья из «Ведомостей».
Я всего этого веселья, увы, не застал, потому что находился в это время на борту 775-го рейса S7, где-то между Красноярским и Пермским краем. А когда долетел — уже никакого поста в моём ЖЖ не было, и пароль от аккаунта был обнулён. Так что даже полюбоваться на красоту негде. Но, судя по полученным на этот пост комментариям, провисело оно там около трёх часов (до 19:23мск) — и удалено было, скорее всего, службой техподдержки ЖЖ, в рамках их усилий по ликвидации последствий взлома.
Никакого инсайда по поводу этой атаки у меня нет, но есть некоторые общие соображения.
Я не думаю, что акция носила сколько-нибудь политический или заказной характер. Скорее, какие-то какеры додумались до способа получить административные полномочия на сервере ЖЖ, способ сработал — и, чтобы уведомить мир о своём успехе, они разместили в журналах, к которым получили доступ, первую попавшуюся статью.
Если бы за этим взломом стояли политические заказчики, то они б сперва придумали текст, а потом уж стали б его размещать. А если б за атакой стояла кибершпана, бравшая на себя ответственность за взломы аккаунтов ЖЖ в прежние годы, то легко догадаться из опыта, какая судьба постигла бы все эти журналы. Они были бы, скорее всего, уничтожены.
Полностью согласен с оценкойkukutz, который в Твиттере написал:
Так что я склонен даже думать, что злоумышленники не получали доступа к паролям изменённых ими журналов, а подобрали ключик к одному аккаунту администратора, для которого знание чужих паролей не требуется, чтобы вносить изменения в базу. Впрочем, это уже тонкости, которые вряд ли интересны читателю — и, независимо от того, что я думаю, пароль в таких случаях всё равно обязательно нужно менять.
Спасибо всем, кто беспокоился. Надеюсь, дырку залатают, и новых взломов по такой технологии не случится. Не надеюсь, что нам при этом объяснят, в чём состоял конкретный механизм получения доступа.
Отдельное спасибо Султану Сулейманову из TJournal, первым сообщившему мне о взломе.
Живём дальше.
В воскресенье в 16:13:06мск неизвестный злоумышленник с IP-адресом 213.108.248.149 залогинился в мой аккаунт с машины под Windows NT 6.1 и разместил тут текст статьи «Ведомостей» от 28.11.2013.
Одновременно такому же взлому подверглись ещё 7 журналов:
borisakunin, drugoi, mi3ch, navalny, puerrtto, pryf и sobchak_xenia.Во всех этих журналах была размещена та же самая статья из «Ведомостей».
Я всего этого веселья, увы, не застал, потому что находился в это время на борту 775-го рейса S7, где-то между Красноярским и Пермским краем. А когда долетел — уже никакого поста в моём ЖЖ не было, и пароль от аккаунта был обнулён. Так что даже полюбоваться на красоту негде. Но, судя по полученным на этот пост комментариям, провисело оно там около трёх часов (до 19:23мск) — и удалено было, скорее всего, службой техподдержки ЖЖ, в рамках их усилий по ликвидации последствий взлома.
Никакого инсайда по поводу этой атаки у меня нет, но есть некоторые общие соображения.
Я не думаю, что акция носила сколько-нибудь политический или заказной характер. Скорее, какие-то какеры додумались до способа получить административные полномочия на сервере ЖЖ, способ сработал — и, чтобы уведомить мир о своём успехе, они разместили в журналах, к которым получили доступ, первую попавшуюся статью.
Если бы за этим взломом стояли политические заказчики, то они б сперва придумали текст, а потом уж стали б его размещать. А если б за атакой стояла кибершпана, бравшая на себя ответственность за взломы аккаунтов ЖЖ в прежние годы, то легко догадаться из опыта, какая судьба постигла бы все эти журналы. Они были бы, скорее всего, уничтожены.
Полностью согласен с оценкой
kukutz, который в Твиттере написал:Так что я склонен даже думать, что злоумышленники не получали доступа к паролям изменённых ими журналов, а подобрали ключик к одному аккаунту администратора, для которого знание чужих паролей не требуется, чтобы вносить изменения в базу. Впрочем, это уже тонкости, которые вряд ли интересны читателю — и, независимо от того, что я думаю, пароль в таких случаях всё равно обязательно нужно менять.
Спасибо всем, кто беспокоился. Надеюсь, дырку залатают, и новых взломов по такой технологии не случится. Не надеюсь, что нам при этом объяснят, в чём состоял конкретный механизм получения доступа.
Отдельное спасибо Султану Сулейманову из TJournal, первым сообщившему мне о взломе.
Живём дальше.
