مصاحبه با هکری که شاید هم اکنون مشغول فروش کلمه عبورتان باشد!

دو هفته پیش اندی گرینبرگ از نشریه wired موفق شد مصاحبه ای داشته باشد با هکری به نام “Peace_of_mind” یا “Peace”. داستان از این قرار بود که دو هفته پیش از مصاحبه تقریبا هر روز بخشی از چند صد میلیون حساب کاربری هک شده در بازار سیاه TheRealDeal واقع در دارک نت به فروش می رسید (عبارت دارک نت یا Darknet به طور کلی به هر شبکه ای گفته می شود که با اتصالات منطقی و نه فیزیکی بر بستر یک شبکه دیگر شکل می گیرد و به طرق معمول قابل دسترسی نیست). هکر فروشنده “Peace_of_mind” نام داشت و میزان داده ای که عرضه می کرد وحشتناک زیاد بود! 167 میلیون حساب کاربری LinkedIn، 360 میلیون حساب Myspace، 68 میلیون Tumblr و 71 میلیون حساب توییتر بخشی از مجموعه رو به رشد در حال فروش بودند. مصاحبه میان اندی گرینبرگ و Peace را می توانید در ادامه مطلب بخوانید. این مصاحبۀ متنی توسط یک پیام رسان ویژه و در یک اتصال کدنگاری شده انجام شده است.

گرینبرگ: اولین پرسش من، چطور توانستی به چنین مجموعه ای از داده های مرتبط با حساب کاربران دست پیدا کنی؟

Peace: خوب، تمامی اینها توسط یک تیم از هکرهای روسی به دست آمده است؛ اگر بخواهید آنها را “تیم” بنامید. برخی از آنها کار من بوده و مابقی توسط افراد دیگری انجام شده است.

خودت روس هستی؟

بله

می توانی بگویی کجا سکونت داری؟

در حال حاضر و به خاطر تحقیقات در جریان تمایلی به گفتنش ندارم!

“تیم” شما نامی هم دارد؟

فعلا نمی توانم جزییاتی مانند این را منتشر کنم. متاسفم.

به نظر می رسد بسیاری از داده هایی که مشغول فروششان هستی قدیمی باشند (گر چه هنوز به وضوح برای هکرها مفیدند.) مثلا داده هایLinkedin  مربوط به 2012 می شود و تاریخ داده های Myspace  به 2013 باز می گردد. چرا پس از این همه مدت اقدام به فروش آنها کرده ای؟

خوب، این داده ها میان اعضای تیم توزیع شده بود و برای مقاصد خودمان کاربرد داشت. آن زمان برخی اعضای تیم اقدام به فروش داده ها به افراد مختلف کردند. خریداران ما افراد برگزیده و مشخصی بودند، افرادی که داده ها را برای مقاصد خود استفاده کرده و با آن تجارت نمی کردند و یا مجددا به فروش نمی رساندند. بنابراین شامل هر خریداری در فروم یا مانند آن نمی شد. اگر چه پس از گذشت زمانی به قدر کافی طولانی، برخی اقدام به فروش گروهی داده ها (100 دلار به ازای هر 100 هزار حساب کاربری و مانند آن) به شکل عمومی کردند. من هم پس از متوجه شدن این موضوع تصمیم گرفتم با فروش عمومی آنها کمی بیشتر برای خودم درآمدزایی کنم.

بنابراین جدای از دیگر افراد تیم این کار را انجام می دهی؟ آنها با این قضیه که به تنهایی داده ها را بفروشی مشکلی ندارند؟

خوب، این افراد دیگر با هم نیستند. رهبر تیم مدتها پیش بازنشسته شده، هر چند که یکی از افراد (Tessa) بدون اجازه مشغول فروش داده هاست. غالب افراد به دنبال کارهای دیگری رفته اند و دیگر با هم در تماس نیستند، در نتیجه پی آیندی هم برای اقدام Tessa نیست. برای من به شخصه با توجه به اینکه زمان زیادی گذشته، به نظرم می توانم داده ها را بفروشم. (توضیح اینکه فردی با نام مستعار “Tessa” نزدیک به 32 میلیون حساب کاربری توییتر را در اختیار وب سایت LeakedSource قرار داده است.)

چرا تیم پیش از این تمایلی به فروش کل مجموعه نداشت؟

اگر داده ها عمومی شوند (در فروم ها عرضه گردند) ارزش خود را از دست می دهند. ما استفاده خودمان را برای آنها داشتیم و دیگر خریداران هم همینطور. به علاوه خریداران انتظار دارند این گونه داده ها تا جای ممکن خصوصی و افشا نشده باقی بمانند. داده های بسیاری از این دست تا به امروز عمومی نشده اند و برای سالیان متوالی مورد استفاده قرار گرفته اند.

استفاده شما از داده ها چه بود؟ چطور می توانستید با فروش خصوصی آنها پول بیشتری به دست آورید؟

خوب، کاربرد اصلی برای اسپم هاست (هر گونه ایمیل ناخواسته). پول بسیار زیادی از این راه و همچنین خریداران خصوصی که به دنبال هدف مشخصی (همچون افراد مشهور) هستند به دست می آید. علاوه بر آن استفاده از کلمه عبور یکسان در حساب های کاربری مختلف افراد رده بالا هم کارکرد خاص خود را دارد. بسیاری افراد اهمیتی برای استفاده از کلمه عبورهای مختلف برای حساب های گوناگون خود قایل نیستند.

برای نمونه تصور می کنی اعضای تیم چقدر از فروش خصوصی حساب های LinkedIn  به دست آورده اند، پیش از آنکه به فروش عمومی آنها اقدام کنی؟

فکر نکنم تمایلی به افشای این اطلاعات داشته باشم! به هر حال برای خودم می توانم بگویم فروش عمومی LinkedIn  حدود 15 هزار دلار برایم داشت.

و چقدر برای داده های Myspace و Tumblr ؟

روی هم حدود 20 هزار دلار.

مثلا هر کدام 10 هزار دلار؟

Myspace بیشتر بود. برای Tumblr تقریبا 2 هزار دلاری بود… اما بیشتر برای MySpace بود، بیشتر به این خاطر که Tumblr برای Hash ها از Salt استفاده می کند. (توضیح اینکه کلمه عبور به صورت رشته ای در هم ریخته و با طول ثابت به نام Hash روی سرور ذخیره می شود و برای آنکه بازیابی آن با تکنیک حدس و خطا بیشتر طول بکشد یا ناممکن شود، به کلمه عبورها در زمان Hash شدن کاراکتر های تصادفی یا Salt افزوده می شود).

داده های Myspace هم Hash شده بودند، مگر نه؟ اما بدون Salt؟

بله، Hash شده بودند اما بدون Salt.

آیا مجموعه داده دیگری هم داری که آنها را هنوز برای فروش نگذاشته ای؟

بله، تقریبا یک میلیارد حساب کاربری یا همین حدودها، باز هم مربوط به همان بازه زمانی 2012 تا 2013.

از کدام سرویس ها؟

عمدتا شبکه های اجتماعی و سرویس های ایمیل.

منظورم اینکه چه سایت هایی؟ می توانی مشخصا نام ببری؟

خوب، الان نمی توانم بگویم. نمی خواهم این شرکت ها شروع به ارسال پیام برای تغییر کلمه عبور به کاربران خود کنند.

چه زمان می خواهی فروش مابقی را آغاز کنی؟

زمانی در این هفته برای سری بعدی. احتمالا هر هفته یک سری را بفروشم. (Peace سه روز پس از مصاحبه سری تازه ای از حساب های توییتر را برای فروش در TheRealDeal قرار داد.)

این فروش شامل چند سایت/سرویس می شود؟

هووووم…حدود هفت تا که بالای 100 میلیون حساب کاربری هستند. اگر موارد کوچکتر را لحاظ کنم – 20 میلیون، 60 میلیون و غیره. – و یک مورد 5 میلیونی.

شما و دیگر همکارانت چطور قادر بودید تمامی این سایت ها را هک کنید؟

خوب، این بر عهده شرکت ها و نیروهای قضایی است که آن را کشف کنند!

امیدوارم گستاخانه به نظر نرسد، اما چرا حاضر به مکالمه با من شدی؟

نه؛ خوب، اینکه کاری کنی که صاحبان شرکت هایی چون Myspace، Tumblr و LinkedIn فکر کنند ابله هستی بامزه است، به ویژه که برای پیگرد قانونی و همکاری با نیروهای قضایی هم تهدید کرده باشند. ترجیح می دهم به آنها تکه ای استخوان برای جویدن بدهم و همین باعث می شود تصور کنند می توانند به من یا دیگران دست پیدا کنند.

و مطمئنی که می توانی از چنگال قانون فرار کنی؟

هاها، بله؛ کاری که در آن خبره هستم.

به نظر نمی رسد برای 25 هزار دلار یا همین حدودها ریسک زیادی باشد؟

خوب، این فقط فروش عمومی است. در کمتر از یک ماه. این برای من هیچ ریسکی ندارد و آنها نمی توانند کار خاصی انجام دهند. همانطور که گفتم، پول نقد سریع و راحت در کمتر از یک ماه. فکر کنم برای خرید یک ماشین خوب کافی باشد.

چون در روسیه زندگی می کنی مطمئنی که دستگیر نمی شوی؟ دولت روسیه هر از مواقع مجرمین را مسترد نمی کند(تحویل مجرم به کشور دیگری که محل وقوع جرم است) ؟ یک میلیارد کلمه عبور ممکن است برای جلب توجه کافی باشد.

خوب، کمی پیچیده تر از آنی است که به نظر می رسد. اما برای مواردی که اتفاقی بیافتد هم برنامه هایی دارم.

نام مستعارت “Peace_of_mind”  از کجا می آید؟

قرار بود فقط “Peace” باشد، به هر حال آن یکی در بازار سیاه استفاده شد. فقط به ذهنم رسید، واقعا چیز خاصی نیست.

چرا “Peace” (صلح و آرامش)؟

{بدون پاسخ}

می توانی ثابت کنی که بیش از یک میلیارد کلمه عبور از 12 سایت مختلف آماده فروش داری؟ ممکن است برای خوانندگان جای شک باشد.

به آنها بگویید میل باکس خود را برای پیامی جهت تغییر کلمه عبور در هفته بعد یا پس از آن چک کنند.