FBI-ul a dezvăluit în liniște o serie de furturi de baze de date uriașe care au afectat 168 de milioane de utilizatori ai unora dintre cele mai populare site-uri de pe internet.

date

Vinovatul acestor încălcări este un american de 28 de ani din Arkansas pe nume Kyle Milliken, care, alături de colegii săi, a furat adrese de e-mail și parole de cont pentru a menține o campanie de spam de masă extrem de profitabilă și extrem de iritantă, care a avut loc din 2010 până în 2014.

Luna trecută, Milliken a fost condamnat la 17 luni într-un lagăr de muncă federal, sentință comutată prin colaborarea sa cu FBI. Executarea acestei sentințe va începe pe 24 mai.

Cazul împotriva lui rămâne secret în instanța federală din San Jose, California și păstrează secretă povestea unui absolvent de liceu din Arkansas rural care a ajuns în vârful vieții înalte din California pe valul de hacking și spam până când s-a confruntat un moment de neglijență eșec.

Verdictul împotriva Milliken vine la fel cum problemele de confidențialitate ale Facebook atrag atenția multora asupra incertitudinii informațiilor într-o epocă în care fiecare clic al mouse-ului poate dezvălui ceva personal.

Împotriva fiecărei scurgeri de date de profil, precum Facebook, care a afectat aproape 87 de milioane de persoane, există nenumărate alte persoane care rămân necunoscute publicului, fie pentru că compania care a pierdut datele nu le cunoaște, fie pentru că a ales să păstreze rupe în secret.

"Există sute, dacă nu chiar mii, de încălcări în diferite baze de date care nu au fost niciodată făcute publice", a spus Milliken. "Între 50 și 70% dintre aceștia nu sunt anunțați. În general, oamenii mătură pistele de sub covor.".

Deși există diferite moduri de a utiliza cantități mari de date despre utilizatori, Milliken's este prozaic. Potrivit interogărilor și documentelor Milliken din caz, hackerul a fost printre primii care au perfecționat o inovație criminală insidioasă numită „spamming prin contact”.

Milliken a folosit instrumente automate pentru a prelua rapid conturile de e-mail și social media de la oameni reali, apoi a trimite mesaje tuturor prietenilor lor, oferind în principal oportunități pentru teme și „produse dietetice magice” - tipul de produse lansate la televizor.

„Am vândut aproape tot ceea ce dr. Oz a spus că este util”, a spus Milliken. „Garcinia cambogia, boabe de cafea verde, cetone de zmeură”.

Unele dintre campaniile sale de spam au atras atenția pe scară largă la acea vreme, deși autorul lor a rămas necunoscut. În ianuarie 2013, el a folosit o încălcare a securității descoperită de un alt spammer pentru a pirata 5 milioane de conturi Yahoo în 3 zile și, conform propriilor calcule din acea perioadă, a trimis peste 25 de milioane de e-mailuri, ceea ce i-a adus aproape 30 000 de dolari comision.

În campanii separate din 2011 și 2014, el a spart mii de conturi Twitter pentru a împinge spamul pentru produsele dietetice și pentru a lucra de acasă. Campania din 2014 a ajuns la vedete și politicieni, adăugând un public în masă și o notă de legitimitate frazelor de genul „Nu mi-a venit să cred când am slăbit 3 kg!” și „Am pierdut 6 kg în 3 săptămâni, mă simt minunat!” Compania de securitate Symantec a analizat campania. "Rămâne neclar cum spammerii au compromis securitatea acestor conturi Twitter", a scris Symantec în analiza sa de atunci.

Alte furturi de date au rămas secrete de ani de zile până când serviciul de alertă de spargere I Have Been Pwned a primit un pachet de informații furate de la Milliken de o sursă anonimă în toamna anului trecut.

„Este destul de obișnuit ca cineva să apară de nicăieri și să spună:„ Am date. ”Ceea ce era neobișnuit în acest caz a fost că aceste date erau o jumătate de duzină de descoperiri majore pe care nu le bănuiam până acum”, spune proprietarul . pe site-ul Troy Hunt.

Secretul succesului Milliken este o practică de securitate neglijentă pe care o prezentăm cu toții la un moment dat sau altul: folosirea aceleiași parole pe mai multe site-uri web. În loc să încerce să lupte împotriva apărărilor excelente pe Twitter sau Facebook, Milliken și echipa sa au atacat site-uri specializate precum ReverbNation, Kickstarter și rețeaua socială pentru partajarea fotografiilor We Heart It - locuri în care ar găsi parole de utilizator slab protejate, de preferință necriptate și adresele lor de e-mail corespunzătoare. Un anumit procent dintre acestea a oferit inevitabil conturilor victimelor acces la alte site-uri web mai potrivite pentru spam.

Astfel de baze de date sunt schimbate pe scară largă în medii informatice ilegale, unde hackerii și spammerii negociază schimburi, vânzări și acorduri de partajare a profitului.

Cele mai mari volume de date Milliken au venit de pe site-ul de partajare a imaginilor Imgur, unde a colectat informații despre 1,7 milioane de conturi de utilizator; site-ul de finanțare colectivă Kickstarter, care a câștigat până la 5,2 milioane de nume de utilizator și parole criptate; și platforma de discuții Disqus, care a scurs date către 17,5 milioane de utilizatori. În unele hacks, cum ar fi Kickstarter, compania victimă a detectat încălcarea și a avertizat imediat utilizatorii. În altele, precum Imgur și Disqus, companiile și consumatorii lor nu au aflat despre această descoperire de ani de zile.

Daniel Ha, CEO al Disqus, spune că FBI și-a informat compania despre încălcarea depozitelor de coduri Disqus în 2014, dar autoritățile federale au descris încălcarea ca fiind limitată la scară și l-au asigurat că nu au fost furate date.

"Echipa noastră a fost contactată cu amabilitate de anchetatori în acest caz pentru a ne informa că o anumită persoană avea acces la un depozit cu codul nostru. Ne-au spus că nu există niciun motiv să credem că altceva a fost făcut sau furat", spune el.

În ultimele luni, Disqus a primit mai multe informații de la autorități cu privire la urmărirea penală a făptuitorului, dar chiar și în acest caz, nu s-a spus nimic despre datele furate ale utilizatorilor, susține Ha.

Potrivit acestuia, Disqus a aflat despre furtul de informații despre utilizatori doar în octombrie anul trecut, când Hunt i-a contactat cu o copie a datelor scurse. În acest moment, Disqus a început imediat să contacteze utilizatorii și a schimbat toate cele 17,5 milioane de parole, la aproape patru ani după ce au fost furate.

Kyle Milliken însuși a crescut în Little Rock, Arkansas. După ce părinții au divorțat la vârsta de 9 ani, a locuit cu mama sa în timpul săptămânii și a petrecut weekendurile cu tatăl său.

Deși era deștept, în propriile sale cuvinte, era un „copil problemă” care abuzează de droguri și se simțea lipsit de provocări la școală. A abandonat liceul în clasa a IX-a și ulterior a primit o diplomă de liceu într-o tabără de pregătire a Gărzii Naționale a SUA pentru tinerii expuși riscului.

Ciocnirile sale cu forțele de ordine au început devreme. La 18 ani a primit o pedeapsă cu suspendare de 4 ani pentru bătaie agravată, un an mai târziu a primit o altă condamnare de 5 ani, de data aceasta probațiune, pentru jefuirea mașinilor. Milliken spune că mediul său a fost un factor cunoscut în acest sens. "Nu a fost altceva de făcut decât să ia droguri sau să meargă la închisoare sau să lucreze într-o fabrică sau o fermă", a spus Milliken. „Nimic de făcut când tocmai ai părăsit școala și nu știi cum este lumea.”

Pe de altă parte, online este ferm pe picioare. A făcut prietenii de durată la AOL când avea 12 ani și, mai târziu, a petrecut mult timp pe MySpace. Acolo a auzit prima dată „apelul la spam”.

Forumurile MySpace au abundat cu oferte înșelătoare pentru tonuri de apel și tichete cadou gratuite. În funcție de spam, utilizatorul care a dat clic a fost trimis la un chestionar utilizat pentru a crea liste de direcționare de marketing suplimentare sau a fost atras să instaleze adware sau spyware.

Milliken era intrigat. A început să studieze programe de marketing afiliat care făceau spamul pe MySpace atât de profitabil: companiile plăteau un comision de la 1 la 12 dolari de fiecare dată când cineva făcea clic pe un link și lua momeala. A fost o industrie care a urmat în general o politică de a nu întreba cum au apărut clicurile. Miliken avea 17 ani și câștiga un salariu minim la un magazin local de animale de companie. A văzut oportunități mai bune de a se îmbogăți în spam.

Cu un ajutor de la un prieten cu abilități de programare, el și-a construit propria campanie, ajutat de un atac de auto-propagare de phishing, a spus el.

El a început prin a viza 300 de vedete cu conturi MySpace, ducându-le la o pagină falsă de autentificare MySpace care le-a transmis parolele către Milliken. Apoi a folosit un cod scris inteligent pentru a transforma contul MySpace piratat într-un lansator: oricine a dat clic pe profilul piratat a fost redirecționat către pagina de autentificare falsă, ceea ce i-a determinat să-și introducă parola.

Dacă ar fi surprins acest truc, contul lor ar fi infectat cu același cod de phishing - și așa mai departe la nesfârșit. Înainte să știe asta, Milliken colecta deja date de la 20.000 la 50.000 de conturi MySpace zilnic, pe care le folosea pentru a trimite spam.

Această înșelătorie i-a adus 5.000 de dolari pe săptămână și i-a deschis noi perspective de carieră. A renunțat la slujbă la un magazin de animale de companie și a început să organizeze campanii suplimentare, economisind în cele din urmă destui bani pentru a merge în Florida și a închiria o casă spațioasă cu doi prieteni din epoca AOL, care erau implicați și în marketingul afiliat.

În 2010, s-a mutat din nou, de data aceasta în California, pentru a locui cu o fată pe care a cunoscut-o online, intensificându-și activitatea de spam pentru a-și menține existența în Los Angeles.

A început să stabilească contacte în cercurile criminale rusești, să facă tranzacții, să petreacă la conferințele anuale ale agenților de marketing afiliați din Las Vegas și să continue să pirateze.

Spamul de contact necesită un val stabil de baze de date cu parole de utilizator. Uneori a negociat tranzacții de partajare a veniturilor cu un rus care părea să aibă rezerve nelimitate de astfel de informații. "L-am întrebat despre anumiți furnizori de servicii Internet. El mi-a dat doar loturi de 5 milioane de oameni", își amintește Milliken.

Din ianuarie 2014, Milliken locuia într-o casă de 2 milioane de dolari, înconjurată de 2.300 de metri pătrați. conac din Burbank Hills. Spamul i-a plătit cu succes chiria și a spus că este suficient pentru salariile unui bucătar personal și a unui șofer personal, deoarece traficul din Los Angeles i se părea nebun.

Și în acel moment a făcut greșeala fatală.

Milliken își propune să pirateze Disqus, o companie din San Francisco, cu o bază imensă de clienți.

A început prin a căuta dezvoltatori Disqus cu conturi pe site-ul de stocare sursă Github, verificându-le unul câte unul în colecția sa de baze de date. Unul dintre programatorii companiei a fost prezent în aceste baze de date, așa că, cu datele sale, Milliken s-a conectat la contul său Github și a descărcat codul Disqus.

Și în interior, a găsit ceea ce căuta: a introdus direct în datele de cod pentru a accesa serverele cloud Amazon utilizate de Disqus, unde erau stocate fișierele companiei. El s-a conectat și a descărcat o bază de date de cel puțin 17,5 milioane de persoane, cu numele de utilizator, adresele de e-mail și parolele hash.

Apoi și-a dat seama că a ratat un pas important.

El spera printr-un server pe care îl angajase sub numele altcuiva la un centru de date din Colorado. Din motive de securitate, el s-a conectat întotdeauna la acest server printr-un VPN anonim în Turcia, astfel încât adresa IP de acasă să nu fie prezentă în jurnale. Dar într-o omisiune tipică care i-a determinat pe hackeri să eșueze din timpuri imemoriale, caz în care a uitat să folosească VPN-ul în cauză.

"Știam că de data asta am fost uluit. Am realizat într-o clipă că lucrurile s-au terminat", a spus el.

Autoritățile federale acționează uneori încet, dar fără încetare, iar în iulie 2014, Milliken a fost trezit brusc la 5 dimineața de o grenadă ușoară și zgomotoasă lansată la casa lui de oaspeți. Când a intrat în camera de zi pentru a verifica de unde provine zgomotul, a fost întâmpinat de o miliție FBI.

„Știți de ce suntem aici?”, A întrebat unul dintre agenți.

"Pun pariu că nu sunteți aici pentru un grătar", a spus Milliken, potrivit unei postări pe blog pe care a scris-o ulterior despre raidul poliției.

Milliken a decis să coopereze cu autoritățile. El l-a trădat pe unul dintre prietenii cu care a lucrat, iar procuratura din Silicon Valley a depus acuzații împotriva celor doi, care au fost păstrați în secret, astfel încât vestea arestării lor să nu atingă potențiale ținte în lumea criminală. Dar au aflat oricum, spune Milliken. „După raidul poliției, toată lumea m-a evitat”.

Milliken s-a întors la casa mamei sale din Arkansas, unde se pregătește în prezent pentru următoarea sa ședere în închisoare.

În total, a câștigat aproximativ 1,4 milioane din hacking și spam. Cu toate acestea, el susține că nu este interesat să revină în această viață. Un raport al serviciului de probațiune pregătit pentru judecător a recomandat o pedeapsă redusă, menționând că Milliken nu a comis nicio infracțiune de la atacul FBI, a trecut cu succes toate testele de droguri în timp ce era pe cauțiune înainte de proces și și-a asumat responsabilitatea pentru crimele sale.

Singura remarcă este observația că Milliken „se comportă cu un sentiment de privilegiu și pune la îndoială orice autoritate”.

El însuși spune că, atunci când este eliberat din închisoare, speră să lucreze ca consultant în securitatea computerelor și poate chiar să își lanseze propria companie, folosindu-și experiența anterioară într-un mod pozitiv. Dacă asta nu funcționează? „Pot începe să tranzacționez criptomonede”, a spus el râzând.