Anton Nossik (dolboeb) wrote,
Anton Nossik
dolboeb

This journal has been placed in memorial status. New entries cannot be posted to it.

О взломе этого ЖЖ

Не прошло и 13 лет с момента его регистрации, как этот ЖЖ был, наконец, кем-то взломан.

В воскресенье в 16:13:06мск неизвестный злоумышленник с IP-адресом 213.108.248.149 залогинился в мой аккаунт с машины под Windows NT 6.1 и разместил тут текст статьи «Ведомостей» от 28.11.2013.
Одновременно такому же взлому подверглись ещё 7 журналов: borisakunin, adagamov.info, mi3ch, navalny, puerrtto, pryf и sobchak_xenia.
Во всех этих журналах была размещена та же самая статья из «Ведомостей».

Я всего этого веселья, увы, не застал, потому что находился в это время на борту 775-го рейса S7, где-то между Красноярским и Пермским краем. А когда долетел — уже никакого поста в моём ЖЖ не было, и пароль от аккаунта был обнулён. Так что даже полюбоваться на красоту негде. Но, судя по полученным на этот пост комментариям, провисело оно там около трёх часов (до 19:23мск) — и удалено было, скорее всего, службой техподдержки ЖЖ, в рамках их усилий по ликвидации последствий взлома.

Никакого инсайда по поводу этой атаки у меня нет, но есть некоторые общие соображения.

Я не думаю, что акция носила сколько-нибудь политический или заказной характер. Скорее, какие-то какеры додумались до способа получить административные полномочия на сервере ЖЖ, способ сработал — и, чтобы уведомить мир о своём успехе, они разместили в журналах, к которым получили доступ, первую попавшуюся статью.

Если бы за этим взломом стояли политические заказчики, то они б сперва придумали текст, а потом уж стали б его размещать. А если б за атакой стояла кибершпана, бравшая на себя ответственность за взломы аккаунтов ЖЖ в прежние годы, то легко догадаться из опыта, какая судьба постигла бы все эти журналы. Они были бы, скорее всего, уничтожены.

Полностью согласен с оценкой Романа Иванова, который в Твиттере написал:
Твит Кукуца о механизме взлома

Так что я склонен даже думать, что злоумышленники не получали доступа к паролям изменённых ими журналов, а подобрали ключик к одному аккаунту администратора, для которого знание чужих паролей не требуется, чтобы вносить изменения в базу. Впрочем, это уже тонкости, которые вряд ли интересны читателю — и, независимо от того, что я думаю, пароль в таких случаях всё равно обязательно нужно менять.

Спасибо всем, кто беспокоился. Надеюсь, дырку залатают, и новых взломов по такой технологии не случится. Не надеюсь, что нам при этом объяснят, в чём состоял конкретный механизм получения доступа.
Отдельное спасибо Султану Сулейманову из TJournal, первым сообщившему мне о взломе.

Живём дальше.
Tags: взлом, жж
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 72 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →