911[.]re, usługa agenta, która od 2015 roku sprzedała dostęp do setek tysięcy Microsoft Windows Computer Daily ogłosił w tym tygodniu, że zamyka się w wyniku naruszenia bezpieczeństwa danych, które zniszczyło kluczowe elementy jego działalności biznesowej. Nagłe zamknięcie następuje dziesięć dni po tym, jak KrebsOnSecurity opublikował dogłębne spojrzenie na 911 i jego powiązania z podejrzanymi programami partnerskimi typu pay-per-install, które potajemnie łączyły programy proxy 911 z innymi adresami, w tym „darmowymi” narzędziami i pirackim oprogramowaniem.
911[.]powtarzać on jest Była to jedna z pierwotnych sieci „domowego proxy”, która pozwalała komuś wynająć domowy adres IP w celu wykorzystania go jako przekaźnika komunikacji internetowej, zapewniając anonimowość i tę zaletę, że jest postrzegany jako użytkownik mieszkający przeglądający sieć.
Mieszkaniowe usługi proxy są często oferowane osobom poszukującym możliwości ominięcia zakazów obowiązujących w danym kraju przez dostawców strumieniowego przesyłania filmów i główne media. Ale niektórzy – jak 911 – budują swoje sieci po części poprzez oferowanie usług „bezpłatnego VPN” lub „bezpłatnego proxy”, które są obsługiwane przez oprogramowanie, które zamienia komputer użytkownika w przekaźnik ruchu dla innych użytkowników. W tym scenariuszu użytkownicy już otrzymują bezpłatną usługę VPN, ale często nie zdają sobie sprawy, że dzięki temu ich komputer zmieni się w serwer proxy, który pozwala innym na używanie ich adresu internetowego do przeprowadzania transakcji online.
Z perspektywy strony internetowej wydaje się, że ruch IP użytkownika domowej sieci proxy pochodzi z wynajmowanego domowego adresu IP, a nie z klienta usługi proxy. Usługi te mogą być legalnie wykorzystywane do kilku celów komercyjnych – takich jak porównywanie cen lub informacje o sprzedaży – ale są powszechnie niewłaściwie wykorzystywane do maskowania działalności cyberprzestępczej, ponieważ mogą utrudniać śledzenie szkodliwego ruchu z powrotem do pierwotnego źródła.
Jak zauważono w Crips on Security z 19 lipca 911 r.Usługa agenta obsługiwała kilka systemów płatności za instalację, które skłaniały podmioty stowarzyszone do potajemnego kojarzenia programu agenta z innymi programami, stale tworząc stały strumień nowych agentów dla usługi.
W ciągu kilku godzin od tej historii, 911 opublikowało powiadomienie na górze swojej strony, mówiąc: „Sprawdzamy naszą sieć i dodajemy szereg środków bezpieczeństwa, aby zapobiec niewłaściwemu korzystaniu z naszych usług. Doładowanie proxy zostało zamknięte, a rejestracja nowego użytkownika została zakończona zamknięte. Sprawdzamy każdego istniejącego użytkownika, aby upewnić się, że jego użycie jest zgodne z prawem i [in] Zgodność z Warunkami świadczenia usług.
W tym ogłoszeniu na kilku forach cyberprzestępczych rozpętało się piekło, a wielu starych klientów 911 zgłosiło, że nie mogą korzystać z usługi. Inni dotknięci awarią powiedzieli, że wygląda na to, że 911 próbowało wdrożyć jakąś zasadę „poznaj swojego klienta” – być może 911 po prostu próbowało wyeliminować klientów, którzy korzystają z usługi w celu przeprowadzenia dużej liczby działań cyberprzestępczych.
Następnie 28 lipca strona internetowa 911 zaczęła przekierowywać do powiadomienia o treści: „Z przykrością informujemy, że 28 lipca na stałe zamknęliśmy 911 i wszystkie jej usługi”.
Według 911, usługa została zhakowana na początku lipca i odkryto, że ktoś manipulował saldami dużej liczby kont użytkowników. 911 powiedział, że hakerzy niewłaściwie wykorzystali interfejs API, który obsługuje przeciążanie kont, gdy użytkownicy deponują pieniądze w usłudze.
Wiadomość z 911 brzmi: „Nie jestem pewien, w jaki sposób haker się dostał”. „Dlatego pilnie zamknęliśmy system ładowania, zarejestrowaliśmy nowego użytkownika i rozpoczęliśmy dochodzenie”.
911 powiedział, że chociaż hakerzy dostali się, byli również w stanie nadpisać krytyczne 911[.]Przywróć serwery, dane i kopie zapasowe tych danych.
W oświadczeniu czytamy dalej: „28 lipca duża liczba użytkowników zgłosiła, że nie jest w stanie zalogować się do systemu”. „Odkryliśmy, że dane na serwerze zostały złośliwie uszkodzone przez hakera, co spowodowało utratę danych i kopii zapasowych. [sic] Potwierdził, że system ładowania również został zhakowany w ten sam sposób. Musieliśmy podjąć tę trudną decyzję ze względu na utratę ważnych danych, która uniemożliwiła odzyskanie usługi”.
Działająca w dużej mierze poza Chinami, 911 była bardzo popularną usługą na wielu forach cyberprzestępczych i stała się czymś w rodzaju infrastruktury krytycznej dla tej społeczności po dwóch długoletnich konkurentach 911 – usługach proxy opartych na złośliwym oprogramowaniu. VIP72 A LuxSocks – W zeszłym roku zamknęli swoje drzwi.
Teraz wiele forów kryminalnych, które polegały na 911 w swoich operacjach, zastanawia się głośno, czy istnieją jakieś alternatywy współmierne do skali i użyteczności oferowanej przez 911. Konsensus wydaje się głośnym „nie”.
Myślę, że wkrótce możemy dowiedzieć się więcej o incydentach związanych z bezpieczeństwem, które spowodowały eksplozję 911. Być może pojawią się inne usługi proxy, aby sprostać rosnącemu obecnie popytowi na takie usługi, przy stosunkowo niewielkiej podaży.
Tymczasem brak 911 może zbiegać się z wymiernym (choć tylko krótkotrwałym) opóźnieniem w niechcianym ruchu do głównych miejsc docelowych w Internecie, w tym banków, sprzedawców detalicznych i platform kryptowalutowych, ponieważ wielu byłych agentów usługi proxy stara się dokonać uzgodnień. .
Riley KilmerWspółtwórca usługi śledzenia proxy SpirosPowiedział, że sieć 911 będzie trudna do zreplikowania w krótkim okresie.
„Zgaduję że [911’s remaining competitors] W krótkim okresie otrzymasz duże wsparcie, ale w końcu pojawi się nowy gracz” – powiedział Kilmer – „Żadna z nich nie jest dobrą alternatywą dla LuxSocks lub 911. Jednak wszystkie pozwolą każdemu z nich korzystać. Jeśli chodzi o stawki oszustwa, próby będą kontynuowane, ale dzięki tym usługom zastępczym powinno być łatwiej monitorować i zatrzymywać. 911 ma kilka bardzo czystych adresów IP. „
911 nie był jedynym głównym dostawcą proxy, który ujawnił włamanie w tym tygodniu związane z nieuwierzytelnionymi interfejsami API: 28 lipca KrebsOnSecurity poinformował, że Ujawnione wewnętrzne interfejsy API sieci wyciekły z bazy danych klientów Microleaves, czyli usługa proxy, która zmienia adresy IP swoich klientów co pięć do dziesięciu minut. To śledztwo wykazało, że Microleaves, podobnie jak 911, od dawna używa schematów pay-per-install do rozpowszechniania swojego oprogramowania proxy.
More Stories
Premiera PlayStation 5 Pro planowana jest za kilka tygodni
Kuo: Aktualizacja pamięci RAM do 12 GB w przyszłym roku będzie ograniczona do iPhone’a 17 Pro Max
Firma zajmująca się sztuczną inteligencją Midjourney zapowiada produkt sprzętowy w nowej formie