Тайнствен спец по спам кампаниите открадна данните на 168 млн. души, но допусна фатална грешка
ФБР тихомълком разгада серия от кражби на огромни бази данни, засегнала 168 млн. потребители на някои от най-популярните уеб сайтове в интернет. Виновникът за тези пробиви е 28-годишен американец от Арканзас на име Кайл Миликен, който наравно с негови колеги е откраднал имейли адреси и пароли на акаунти, за да поддържа високодоходна и крайно дразнеща за всички масова спам кампания, действала от 2010 до 2014 г.
Миналия месец Миликен беше осъден на 17 месеца във федерален трудов лагер - присъда, олекотена от сътрудничеството му с ФБР. Изпълнението на тази присъда ще започне на 24 май.
Делото срещу него остава засекретено във федерален съд в Сан Хосе, Калифорния, и с него остава в секретност историята на отпаднал от гимназията младеж от провинциален Арканзас, стигнал на вълната на хакването и спама до върха на хайлайфа на Калифорния, докато миг на небрежност не го е изправил пред провала.
Присъдата срещу Миликен идва точно когато проблемите със защитата на личните данни на Facebook насочват вниманието на мнозина към несигурността на информацията в ера, в която всеки клик на мишката може да разкрие нещо лично.
Срещу всеко нашумяло изтичане на данни като това на Facebook, което засегна близо 87 млн. души, има безброй други, които остават неизвестни на обществеността, или защото компанията, която е изгубила данните, не знае за тях, или защото е предпочела да запази пробива в тайна.
"Има стотици, ако не и хиляди пробиви в различни бази данни, които така и не са публично разкрити", казва Миликен. "Между 50 - 70% от тях не са огласени. Предимно хората замитат следите под килима".
Въпреки че има различни начини за употреба на големи обеми потребителски данни, това на Миликен е прозаично. Според разпити на Миликен и документи по делото, хакерът е бил сред първите, които са изпипали до съвършенство коварна престъпна иновация, наречена "контактно спамене".
Миликен е използвал автоматизирани инструменти, за да превземе бързо имейла и акаунтите в социални мрежи на реални хора, след което да разпрати съобщения до всичките им приятели, предимно предлагайки възможности за работа от дома и "вълшебни диетични продукти" - от типа продукти, които се лансират по телевизията.
"Продавал съм почти всичко, което д-р Оз е казвал, че е полезно", коментира Миликен. "Гарциния камбоджа, зелени кафеени зърна, малинови кетони..."
Някои от неговите спам кампании са привлекли масово внимание по онова време, въпреки че извършителят им е останал неизвестен. През януари 2013 той е използвал пробив в сигурността, открит от друг спамър, за да хакне 5 млн. акаунта в Yahoo за 3 дни като по собствените си изчисления за това време той е изпратил над 25 млн. имейла, които са му донесли близо 30 000 долара комисионна.
В
отделни кампании през 2011 и 2014, той е хаквал хиляди Twitter акаунти, за да пробутва спам за диетични продукти и работа от дома. Кампанията от 2014 е обхванала знаменитости и политици, като е добавила масова аудитория и полъх на легитимност на фрази като "Не можех да повярвам, когато свалих 3 кг!" и "Свалих 6 кг за 3 седмици, чувствам се страхотно!" Компанията за сигурност Symantec е анализирала кампанията. "Все още остава неясно как спамърите са компрометирали сигурността на тези Twitter акаунти", са написали тогава в анализа си Symantec.
Други кражби на данни са оставали в тайна с години, докато услугата за известяване за пробиви Have I Been Pwned не е получила пакет от открадната от Миликен информация от анонимен източник миналата есен.
"Доста често се случва някой да се появи буквално от нищото и да каже "Имам данни". Това, което беше необичайно в случая, е че тези данни бяха от половин дузина големи пробиви, за които не подозирахме до този момент," казва собственикът на сайта Трой Хънт.
Тайната на успеха на Миликен е немарлива практика за сигурност, която всички проявяваме в един или друг момент: употреба на една и съща парола на многобройни уеб сайтове. Вместо да се опитва да се бори с отличните защити на Twitter или Facebook, Миликен и неговият екип са атакували специализирани сайтове като ReverbNation, Kickstarter и социалната мрежа за споделяне на снимки We Heart It - места, където биха открили зле защитени потребителски пароли, за предпочитане некриптирани, и съответстващите им имейл адреси. Известен процент от тях неизбежно са давали достъп до акаунтите на жертвите в други уеб сайтове, по-подходящи за спамене.
Подобни бази данни се разменят масово в компютърните нелегални среди, където хакери и спамери договарят размени, продажби и споразумения за споделяне на печалби.
Най-големите обеми на данни на Миликен са дошли от сайта за споделяне на изображения Imgur, където е събрал информация за 1,7 млн. потребителски акаунти; сайта за колективно финансиране Kickstarter, където се е добрал до 5,2 млн. потребителски имена и криптирани пароли; и платформата за дискусии Disqus, откъдето са изтекли данни за 17,5 млн. потребители. В някои хаквания, като това на Kickstarter, компанията-жертва е открила пробива и е предупредила потребителите веднага. В други, като Imgur и Disqus, фирмите и техните потребители не са научили за пробива с години.
Даниъл Ха, изпълнителен директор на Disqus, казва, че ФБР са информирали компанията му за пробива в хранилищата на код на Disqus през 2014, но федералните власти са описали пробива като ограничен като мащаб и са го уверили, че не са откраднати никакви данни.
"С екипа ни като проява на любезност се свързаха разследващите по този случай, за да ни информират, че определено лице е имало достъп до хранилище с нашия код. Те ни заявиха, че няма причини да се смята, че нещо друго е било направено или откраднато", казва той.
В последните месеци Disqus са получили още информация от властите за наказателното преследване на извършителя, но и в този случай не се е казвало нищо за откраднати потребителски данни, твърди Ха.
Според него Disqus са научили за кражбата на потребителска информация едва миналия октомври, когато Хънт се е свързал с тях с копие на изтеклите данни. Към този момент Disqus веднага са започнали да се свързват с потребителите и са сменили всичките 17,5 млн. пароли, близо четири години след кражбата им.
Самият Кайл Миликен израства в Литъл Рок, Арканзас. След като родителите му се развели, когато бил на 9-годишна възраст, той заживял с майка си през седмицата, а уикендите прекарвал с баща си.
Въпреки че е бил умен, по негови собствени думи е бил "проблемно дете", което е злоупотребявало с наркотици и се е чувствало лишено от предизвикателства в училище. Той е отпаднал от гимназията в IX клас като по-късно е получил диплома за средно образование в тренировъчен лагер на Националната гвардия на САЩ за младежи от рискови групи.
Сблъсъците му с органите на реда са започнали отрано. На 18 години е получил 4-годишна условна присъда за нанасяне на тежък побой, година по-късно е получил още една 5-годишна присъда, този път пробация, за ограбване на коли. Миликен казва, че средата му е била известен фактор за това. “Нямаше нищо за правене, освен да вземаш наркотици или да попаднеш в затвора, или да работиш в някоя фабрика или ферма,” коментира Миликен. “Нищо за правене, когато тъкмо си излязъл от училище и не знаеш какъв е светът.”
За сметка на това обаче онлайн е здраво стъпил на краката си. Има изградени трайни приятелства в AOL, когато е бил 12-годишен, и по-късно е прекарвал много време в MySpace. Точно там той е чул за първи път "зова на спама".
MySpace форумите изобилствали от измамни оферти за безплатни рингтонове и подаръчни ваучери. В зависимост от спама, кликналият потребител е бил изпращан към въпросник, използван за изграждане на списъци за таргетиране за допълнителен маркетинг, или примамван да инсталира рекламен или шпионски софтуер.
Миликен се заинтригувал. Той започнал да изучава програмите за афилиейт маркетинг, които правели спама в MySpace толкова доходен: компаниите плащали комисионна - от 1 до около 12 долара, всеки път, в който някой кликвал на линка и се хващал на въдицата. Това бил бранш, който като цяло спазвал политика на незадаване на въпроси как идват кликовете. Миликен бил 17-годишен и изкарвал минимална работна заплата в местен зоомагазин. Той видял по-добри възможности за забогатяване в спама.
С известна помощ от приятел с умения за програмиране, той изградил собствена кампания, подпомогната от саморазпространяваща се фишинг атака, споделя той.
Той започнал, като таргетирал 300 знаменитости с акаунти в MySpace, като ги подвел към фалшива страница за влизане в MySpace, която препращала паролите им на Миликен. После той използвал умело написан код, за да превърне хакнатия MySpace профил в ракета-носител: всички, които кликвали на хакнатия профил, били пренасочвани към фалшивата страница за влизане, която ги приканвала да въведат паролата си.
Ако се хванели на тази уловка, профилът им се заразявал със същия фишинг код — и така до безкрайност. Преди да се усети, Миликен вече събирал данните на между 20 000 и 50 000 MySpace акаунти ежедневно, които използвал за разпращане на спам.
Тази измама му донесла 5000 долара за седмица и му разкрила нови кариерни перспективи. Той напуснал работата в зоомагазина и започнал да реализира допълнителни кампании като в крайна сметка спестил достатъчно пари, за да замине за Флорида и да наеме просторна къща с двама приятели от AOL периода му, които също се захващали с афилиейт маркетинг.
През 2010 той отново се преместил, този път в Калифорния, за да живее с момиче, което срещнал онлайн като засилил спам дейността си, за да поддържа средствата си за по-високия стандарт на живот в Лос Анджелис.
Той започнал да си изгражда контакти и в руските престъпни среди, правел сделки, купонясвал на годишните конференции на афилиейт маркетинг специалистите в Лас Вегас, и продължавал с хакването.
Контактният спам изисква стабилна вълна от бази данни с потребителски пароли. Понякога той договарял сделки за споделяне на доходи с руснак, който сякаш имал неограничени резерви от такава информация. "Питах го за определени интернет доставчици. Той просто ми връчваше партиди от по 5 млн. души", спомня си Миликен.
Към януари 2014 г. Миликен живеел в дом за 2 млн. долара, заобиколен от 2300 кв.м. имение в Бърбанк Хилс. Спамът му плащал успешно наема, и по негови думи стигал и за заплати на личен готвач и личен шофьор, защото трафикът в Лос Анджелис му се виждал побъркващ.
И по това време той допуснал фаталната грешка.
Миликен си поставил за цел да хакне Disqus, базирана в Сан Франциско компания с огромна потребителска база.
Той започнал, като издирвал разработчици от Disqus с акаунти в сайта за съхранение на изходен код Github, като един по един ги проверявал в колекцията си от бази данни. Един от програмистите на компанията присъствал в тези бази данни, така че с неговите данни Миликен влязъл в Github акаунта му и свалил кода на Disqus.
И вътре той открил това, което търсел: директно въведени в кода данни за достъп до ползваните от Disqus облачни сървъри на Amazon, където се съхранявали файловете на компанията. Той влязъл там и изтеглил база данни от поне 17.5 млн. души, с потребителските им имена, имейл адреси и хеширани пароли.
След което осъзнал, че е пропуснал една важна стъпка.
Той извършвал хакването чрез сървър, който бил наел под чуждо име в датацентър в Колорадо. От съображения за сигурност винаги той се свързвал към този сървър през анонимен VPN в Турция, така че домашният му IP адрес да не присъства в логовете. Но в типичен пропуск, който е довеждал от безкрайни времена хакерите до провал, в този случай той бил забравил да използва въпросния VPN.
"Знаех, че този път съм се издънил. Осъзнах на мига, че нещата приключиха", казва той.
Федералните власти понякога действат бавно, но действат неумолимо, и през юли 2014 Миликен бил събуден рязко в 5 часа сутринта от светлинно-шумова граната, задействала се в къщата му за гости. Когато влязъл в хола си да провери откъде идва шумът, бил посрещнат от въоръжен отряд на ФБР.
“Знаете ли защо сме тук?”, попитал единият от агентите.
“Обзалагам се, че не сте тук за барбекю,” отвърнал Миликен, според блогпост, който по-късно написал за полицейското нахлуване.
Миликен решил да сътрудничи на властите. Той издал един от приятелите, с които работел, и прокуратурата в Силициевата долина предявила обвинения срещу двамата, които били запазени в тайна, така че вестта за ареста им да не достигне до потенциални мишени в престъпния свят. Те обаче разбрали така или иначе, казва Миликен. "След нахлуването на полицията всички ме избягваха."
Миликен се върнал в дома на майка си в Арканзас, където в момента се подготвя за предстоящия си престой в затвора.
Общо той спечелил около 1,4 млн. от хакване и спам. Той обаче твърди, че не проявява интерес към връщане към този си живот. Доклад на службата по пробация, подготвен за съдията, е препоръчал намалена присъда, като е отбелязал, че Миликен не е извършвал никакви престъпления след нахлуването на ФБР, минал е успешно всички изследвания за употреба на наркотици, докато е бил пуснат под гаранция преди процеса, и е поел отговорността за престъпленията си.
Единствената забележка е наблюдението, че Миликен "се държи с чувство за привилегированост и подлага на съмнение всякакви авторитети".
Самият той казва, че когато излезе от затвора, се надява да работи като консултант по компютърна сигурност, и може би дори да стартира своя собствена компания, като използва по позитивен начин дотогавашния си опит. Ако това не проработи? "Може да започна да търгувам с криптовалути", заявява той през смях.
Източник: webcafe.bg