Depois de invadir e arrasar servidores, hacker publica banco de dados com emails e senhas dos donos e usuários de portais

Mais uma vez um hacker invadiu os servidores que o alemão Daniel Winzen mantém hospedando gratuitamente serviços da dark web. Desta vez ele vazou o banco de dados do Daniel’s Hosting (DH), maior provedor de hospedagem gratuita para serviços da dark web.

Os dados vazados foram obtidos pelo hacker em 10 de Março de 2020, quando os servidores foram arrasados. Em 26 de março, duas semanas após a violação, o DH encerrou os serviços. Havia cerca de 7.600 sites – um terço de todos os portais da dark web.

Hoje, um hacker chamado KingNull enviou uma cópia do banco de dados roubado do DH para um portal de hospedagem de arquivos e notificou o portal noticioso ZDNet. De acordo com uma análise superficial do dump, os dados vazados incluem 3.671 endereços de email, 7.205 senhas de contas e 8.580 chaves privadas para domínios “.onion”.

A empresa de inteligência Under the Breach informoiu à ZDNet que o banco contém informações confidenciais sobre os proprietários e usuários de milhares de domínios da darknet. Os dados vazados podem ser usados para vincular os proprietários de endereços de e-mail vazados a determinados portais da dark web.

“Essas informações podem ajudar a polícia a localizar os indivíduos que praticam ou participam de atividades ilegais nesses sites”, informou o Under the Breach ao ZDNet. Caso os proprietários de sites transfiram seus portais para novos provedores usando as mesmas senhas, os novos sites podem ser invadidos.

A primeira invasão do DH aconteceu em 2018, quando alguém invadiu os servidores e apagou de lá perto de 6.500 websites e também a conta root. O provedor é mantido desde setembro de 2013. Segundo Daniel contou ao CISO Advisor, por volta das 22h (horário da Alemanha) do dia 15 de Novembro de 2018, o servidor foi invadido. “De acordo com minha análise, parece que alguém conseguiu acessar o banco de dados e excluiu todas as contas. Vale ressaltar que também foi excluída a conta ‘root’, que foi injetada no banco de dados às 10:53 e apagada às 12:50 – logo após os bancos de dados remanescentes do chat, lista de links e contador de visitas serem deletados. Cerca de 6500 Serviços Ocultos (Hidden Services) estavam hospedados no servidor. Não há como recuperarmos os dados dessa violação, todos os dados se foram. Vou reativar o serviço assim que a vulnerabilidade for encontrada, mas agora preciso primeiro encontrá-la. Muito provavelmente em dezembro o serviço estará de volta”.

Winzen disse ao Cisoadvisor pelo Telegram que não descobriu a vulnerabilidade. Todos os hackers eram bem-vindos, segundo ele, para tentar localizar a vulnerabilidade. Existia uma, já corrigida: um zero day do PHP, anunciado na véspera. Mas Daniel declarou não achar que a causa tenha sido essa. Ele acha que foi outra coisa.

Com agências internacionais

Fonte: CISO Advisor