A Tor-hálózaton belül üzemeltetett webhelyekkel kapcsolatban a rendkívül magas fokú anonimitás és biztonság jut a felhasználók eszébe; a sötét webet egy olyan helynek tartják, ahol a felhasználók leleplezéséhez és az egyéb típusú pánikkeltéshez még az FBI-nak is nulladik napi sebezhetőségeket kell kihasználnia. Ez csak ideális esetben igaz, hiszen a rendszerek biztonsága mindig csak annyira erős, mint a rendszerekben lévő leggyengébb láncszem. A Tor-hálózaton elérhető webhelyeket és hostingcégeket nem feltétlenül világklasszis tudással rendelkező aktivisták és bűnözők üzemeltetik. Sőt, a helyzet sokkal rosszabb lehet ilyen szempontból, mint azt bárki gondolta volna.
Erre bizonyíték, hogy a múlt héten egy hackercsoport ellopta a Freedom Hosting II névre keresztelt tárhelyszolgáltató infrastruktúrájában tárolt összes információt (a kiszolgált webhelyekhez tartozó állományokat és adatbázisokat), majd a portálok lekért lapjai helyett egy üzenetet jelenítettek meg a látogatóknak a betörésről. Mindezt aránylag egyszerűen sikerült kivitelezniük: csak át kellett állítani a regisztrált tárhelyek mindegyike számára biztosított .htaccess konfigurációs állományt, utána pedig a LAMP típusú szerverek működésének alapvető ismerete is elég volt a root jogosultságú hozzáférés megszerzéséhez.
A hackerek összesen 10613 darab portált - a deep weben elérhető webhelyek olyan ötödét - lőtték le az akciójuk során, 74 gigabájtnyi állományt és 2,3 gigabájtnyi adatbázist töltöttek le a szolgáltatótól. Állításuk szerint az állományok nagyjából fele pedofil tartalom, a birtokukba jutott és már nyilvánosságra hozott információkat egy biztonsági kutatón keresztül fogják eljuttatni a hatóságoknak.
We were able to identify FHII-hosted sites through SSH fingerprints & Hostname hacking among others. Hosted sites now redirect to message. pic.twitter.com/DMhMb5ixtH
— Sarah Jamie Lewis (@SarahJamieLewis) 2017. február 3.
Végül megemlítendő, hogy a csoport először 0,01 BitCoinért (olyan 100 dollárért) árulta az ellopott adatokat. A jelek szerint kettő utalást is kaptak még azelőtt, hogy az ingyenes nyilvánosságra hozataluk mellett döntöttek volna.
(Forrás: Engadget, Bleeping Computer | Nyitókép: (matt))
