Kto stoi za atakiem na forum policyjne. Tropy prowadzą do dark webu
Wczoraj mogliście się dowiedzieć o cyberataku na Internetowe Forum Policyjne, zakończonego wyciekiem danych użytkowników. Na jaw wychodzą kolejne szczegóły tej sprawy, a jeden z tropów prowadzi do kontrowersyjnej społeczności, wiązanej wcześniej z fałszywymi alarmami bombowymi i wysyłaniem pogróżek.
Przypomnijmy, administracja Internetowego Forum Policyjnego przyznała się, że 24 maja utracono nieokreśloną liczbę loginów, adresów e-mail i zahaszowanych haseł. Wtedy też użytkownicy IFP zaczęli obawiać się ujawnienia swych danych osobowych. Jest to bowiem miejsce, gdzie działania policji stawia się często w bardzo negatywnym świetle. Czasem też osoby podające się za funkcjonariuszy wprost krytykują decyzje podejmowane na wyższych szczeblach.
Jak zauważa Zaufana Trzecia Strona, 20 maja, czyli jeszcze przed potwierdzonym terminem ataku, intrygujący wpis pojawił się na pewnej kontrowersyjnej grupie dyskusyjnej. Chodzi o serwis Lolifox Poland, umieszczony w sieci Tor (dark web), gdzie można znaleźć takie kwiatki jak instrukcja zainicjowania fałszywego alarmu bombowego, nawoływanie do formowania ruchów anarchistycznych, a nawet groźby zabójstwa adresowane do konkretnych polityków i innych urzędników państwowych.
Na Lolifoksa trafił link, który sugeruje, że do systemu awatarów Internetowego Forum Policyjnego przemycono webshell, a więc skrypt pozwalający na kontrolę zdalną. Nawiasem mówiąc, tę samą metodę ataku wykorzystano ostatnio w przypadku Politechniki Warszawskiej. A było to o tyle proste, że zarówno IFP, jak i PW mają od wielu lat nieaktualizowaną infrastrukturę.
Pikanterię całej sytuacji intensyfikują wydarzenia z 12 maja, kiedy to – jak z kolei zauważa Niebezpiecznik – na oficjalnym profilu Polska Policja na Facebooku pojawił się odnośnik do witryny president-soviet.ru. Post szybko zniknął, ale nie od dziś wiadomo, że w internecie nic nie ginie bezpowrotnie. Są zrzuty ekranu dokumentujące jego istnienie.
Łącząc obydwa te wątki, wychodzi na to, że napastnik istotnie jest w posiadaniu całej bazy danych IFP, a jednym z użytkowników forum mógł być ktoś z policyjnego zespołu social media. Co więc powinni zrobić teraz wszyscy zhakowani? Odpowiedź brzmi: pozmieniać hasła. Oczywiście dotyczy to tylko tych, którzy stosują jedno hasło w wielu miejscach, ale z doświadczenia można powiedzieć, że jest to bardzo częsty błąd.
Teraz – domniemany napastnik z Lolifoksa obiecuje, że w ciągu kilku dni całą zdobytą bazę opublikuje. A chyba nie trzeba dodawać, jak łakomym kąskiem mogą być dane policjantów, i to nie tylko dla zdeklarowanych przestępców, ale też wszelkich złośliwców oraz żartownisiów. Tak więc ta sprawa ewidentnie jeszcze zakończona nie została.
