2017年3月4日、MacKeeperのセキュリティ専門家Chris Vickeryは、13億7000万件のレコードデータベースの大規模なリークの詳細が月曜日までに現れると事前に発表しました 。 彼は約束を守った。 MacKeeperは昨日、このリークの詳細を公開しました 。 彼女の被害者は通常の会社ではなく、スパム送信会社であるRiver City Media(RCM)であることが判明しました。
有名なスパマーであるAlvin SlocombeとMatt Ferrisのリーダーシップの下、この会社はきちんとしたマーケティング会社を装っていますが、同時に1日に10億通以上の手紙を送る文書を誇っています。 そして、これは数十人の従業員によるものです。
言うまでもなく、このような基盤により、誰でも「効果的なマーケティング」を行うことができます。
データベースには、電子メールアドレスだけでなく、実名、ユーザー名、IPアドレス、および多くの場合物理アドレスも含まれています。
実際、このような情報はスパマーだけでなく、他の関係者にとっても有用です。 名前とIPアドレスを含む.milドメインゾーンに膨大な数のメールアドレスがあるとしましょう。 あなたはそれが何を意味するか理解しています。
基地のスポットチェックは、これが本当に本当の情報であることを示しました。
スパムの巨大なRCMに対する調査は、MacKeeper Security Research Center、CSOOnline、およびSpamhausの専門家によって行われました。 それはすべて、今年1月にChris Vickeryがパブリックドメインで奇妙だが疑わしいファイルのセットに遭遇したという事実から始まりました。 後で判明したように、データベースのバックアップコピーはRiver City Mediaに属していました。 ファイルはパスワードで保護されていません。 Chris Vickeryは、ファイルを「偶然に」発見した場所をまだ正確に言っていません。 情報セキュリティの専門家が違法なことを何もしていないことを願っています。
リークの原因は、サーバー間でデータをバックアップ、同期、ミラーリングするための一般的なユーティリティである
rsync
の不適切な構成によるものです。
RCMバックアップは、1か月以上パブリックドメインにあります。 一部のファイルの日付は2017年1月で、その他の部分は2016年12月です。
ファイルには、222.8 GiBのデータベースサイズと電子メールアドレスが含まれていました。 エントリの総数は1,374,159,612です。
電子メールサービスの統計から判断すると、スパマーは明らかにアメリカのユーザーを標的にしています。 最も人気のあるものの中には、ロシアのメールドメインはありません。 しかし、その後、データベースには、おそらくほとんどすべてのアメリカ人ユーザーが存在します。
ファイルを調べると、RCMは単なるスパマーではなく、非常に洗練されたエージェントであることがわかりました。 彼らは自動化された方法といくつかのハッキング技術を使用して手紙を送りました。 たとえば、メールサーバーで脆弱な構成を確認し、この情報を大量メール送信に使用しました。 これは、バックアップで見つかったスクリプトとチャットログの存在によって証明されます。 これらのチャットの抜粋の1つは、Gmailスパム対策フィルターをだましてこのメールサーバーを文字で埋める方法を説明しています。
Gmailへの接続の最大数を増やす必要があるが、何も送信せず、接続を長時間開いたままにしておくことが説明されています。 これは、応答パケットの遅延を最大化するようにマシンを構成し、断片化された方法で、より多くの接続を開くことにより行われます。 それでは、Gmailがタイムアウトで接続を切断する準備がほぼ整ったら、Gmailが接続を切断して切断するまで、開いているすべての接続でメールを最大限に送信します。
マシンと被害者のコンピューターの間で可能な限り多くの接続を開く手法は、実際にはDoSのバリエーションであるSlowlorisのような攻撃です。 ここでのコツは、スパマーが被害者のコンピューターを無効にしようとするのではなく、できるだけ多くのリソースをキャプチャして使用しようとすることです。 この場合、Gmailを可能な限りスパムするようにします。
RCMを使用したTierPointプロバイダーのログは、AOLボックスのブロックに関する問題を示しています
スクリプトを使用したさまざまな種類の攻撃に関する詳細が、スパムを送信するギャングが使用したマイクロソフト、アップル、その他の企業に送信されました。
River City Mediaがこの情報を収集するために使用した方法は不明です。 近い将来、Alvin Slokombeと彼の共犯者は、彼らが違法なことを何もしなかったことを発表するでしょう。 おそらく、データベースは、あるサービスに登録されているが、「第三者と私の情報を共有する許可」などのチェックマークに気付かないときに、いわゆる「共同登録」を通じて収集されます。 インターネットサービスおよびプログラムの所有者はユーザーベースを収集し、これらのデータベースを第三者に販売できます。
さて、RCMは古い方法を使用するのがはるかに難しくなります。 昨日の時点で、SpamhausはRiver City Mediaのすべてのインフラストラクチャをそのベースに追加しました。
Chris Vickeryは、近い将来RCMバックアップから多数のドキュメントを公開することを約束します。十分な興味深いスプレッドシートがあり、ハードドライブ、チャットログなどのバックアップがあります。また、Salt Hashブログ:偽の検索エンジンページ、レター本文への転送を伴うサイト上のバナー広告など このすべてにおいて、同社は2016年10月から2017年1月まで、AdDemand、W4、AD1 Media(Flex)、Union Square Mediaを含むさまざまな広告ネットワークから相当額の937,451.21ドルを収集しました。