911[.]re, agento paslauga, kuri nuo 2015 m. parduoda prieigą prie šimtų tūkstančių Microsoft Windows „Computer Daily“ šią savaitę paskelbė, kad nutraukia veiklą dėl duomenų pažeidimo, kuris sugriovė pagrindinius jos verslo komponentus. Staigus išjungimas įvyko praėjus dešimčiai dienų po to, kai KrebsOnSecurity paskelbė nuodugnią 911 apžvalgą ir jos ryšius su šešėlinėmis mokamomis už įdiegimą susijusiomis programomis, kurios slapta derino 911 tarpinio serverio programas su kitais adresais, įskaitant „nemokamas“ paslaugas ir piratinę programinę įrangą.

911[.]kartoti jis yra Tai buvo vienas iš originalių „gyvenamųjų tarpinio serverio“ tinklų, leidžiančių kam nors išsinuomoti gyvenamojo namo IP adresą, kad jis būtų naudojamas kaip interneto komunikacijos perdavimas, užtikrinant anonimiškumą ir pranašumą, kad būtų matomas kaip gyventojas, naršantis internete.

Gyventojų tarpinio serverio paslaugos dažnai parduodamos žmonėms, ieškantiems galimybės išvengti filmų srautinio perdavimo paslaugų teikėjų ir pagrindinių žiniasklaidos priemonių konkrečiai šaliai taikomų draudimų. Tačiau kai kurie, pavyzdžiui, 911, savo tinklus kuria iš dalies siūlydami „nemokamą VPN“ arba „nemokamą tarpinio serverio“ paslaugas, kurias maitina programinė įranga, kuri paverčia vartotojo kompiuterį srauto perdavimo kanalu kitiems vartotojams. Pagal šį scenarijų vartotojai jau gauna nemokamą VPN paslaugą, tačiau dažnai nesuvokia, kad tai padarę jų kompiuteris pavers tarpinį serverį, leidžiantį kitiems naudotis jų interneto adresu internetinėms operacijoms atlikti.

Iš svetainės perspektyvos atrodo, kad gyvenamojo tarpinio serverio tinklo vartotojo IP srautas kyla iš nuomojamo gyvenamojo IP adreso, o ne iš įgaliotojo serverio paslaugos kliento. Šios paslaugos gali būti teisėtai naudojamos keliems komerciniams tikslams, pvz., kainų palyginimui ar pardavimo informacijai, tačiau jos plačiai naudojamos siekiant nuslėpti elektroninių nusikaltimų veiklą, nes dėl jų gali būti sunku atsekti kenkėjišką srautą iki pradinio šaltinio.

Kaip pažymėta „Crips on Security“ istorija liepos 19 d. per 911„Agent Service“ valdė kelias mokėjimo už diegimą sistemas, kurios paskatino filialus slapta susieti agento programą su kitomis programomis, nuolat kuriant nuolatinį naujų paslaugų agentų srautą.

Talpykloje išsaugotas „flash“ atnaujinimas[.]net apie 2016 m., o tai rodo, kad mokami už įdiegimą filialų programos pagrindinis puslapis paskatino tyliai įdiegti 911 agentą.

Praėjus kelioms valandoms po šios istorijos, 911 savo svetainės viršuje paskelbė pranešimą, kuriame sakoma: „Peržiūrime savo tinklą ir pridedame keletą saugos priemonių, kad išvengtume piktnaudžiavimo mūsų paslaugomis. Agento papildymas uždarytas ir naujų naudotojų registracija Uždaryta. Peržiūrime kiekvieną esamą naudotoją, kad įsitikintume, ar jis naudojamas.” teisėtas ir [in] Paslaugų teikimo sąlygų laikymasis.

Šiame pranešime keliuose kibernetinių nusikaltimų forumuose atsivėrė visas pragaras, nes daugelis senų 911 klientų pranešė, kad negali naudotis šia paslauga. Kiti, nukentėjusieji nuo gedimo, teigė, kad 911 bando įgyvendinti kažkokią taisyklę „pažink savo klientą“ – galbūt 911 tiesiog bando pašalinti tuos klientus, kurie naudojasi šia paslauga didelei kibernetinei nusikalstamai veiklai.

Tada liepos 28 d. 911 svetainė pradėjo nukreipti į pranešimą, kuriame sakoma: „Apgailestaujame, kad pranešame, kad liepos 28 d. visam laikui uždarėme 911 ir visas jo paslaugas“.

911 duomenimis, į paslaugą buvo įsilaužta liepos pradžioje ir buvo nustatyta, kad kažkas sugadino daugelio vartotojų paskyrų likučius. 911 teigė, kad įsilaužėliai netinkamai naudojo API, kuri tvarko sąskaitų perkrovimą, kai vartotojai įneša pinigus į paslaugą.

911 žinutėje rašoma: „Nežinau, kaip įsilaužėlis pateko“. „Todėl skubiai išjungėme papildymo sistemą, užregistravome naują vartotoją ir pradėjome tyrimą.

911 atsisveikinimo pranešimas savo vartotojams, paskelbtas pagrindiniame puslapyje 2022 m. liepos 28 d.

911 pranešė, kad nors įsilaužėliai pateko, jie taip pat sugebėjo perrašyti kritinį 911[.]Atkurkite serverius, duomenis ir atsargines tų duomenų kopijas.

Teiginys tęsiamas: „Liepos 28 d. daug vartotojų pranešė, kad jiems nepavyko prisijungti prie sistemos. „Nustatėme, kad įsilaužėlis piktybiškai sugadino duomenis serveryje, todėl buvo prarasti duomenys ir atsarginės kopijos. [sic] Jis patvirtino, kad tokiu pat būdu buvo nulaužta ir įkrovimo sistema. Turėjome priimti šį sunkų sprendimą dėl svarbių duomenų praradimo, dėl kurio paslauga tapo nebeatkurta.

Daugiausia veikianti už Kinijos ribų, 911 buvo labai populiari paslauga daugelyje kibernetinių nusikaltimų forumų ir tapo svarbia šios bendruomenės infrastruktūra po dviejų ilgamečių 911 konkurentų – kenkėjiškomis programomis pagrįstų tarpinio serverio paslaugų. VIP72 Ir LuxSocks – Pernai jie uždarė duris.

Dabar daugelis nusikaltimų forumų, kurie savo veiklą pasitikėjo 911, garsiai svarsto, ar yra kokių nors alternatyvų, atitinkančių 911 siūlomą mastą ir naudingumą. Atrodo, kad sutarimas yra tvirtas „ne“.

Manau, kad netrukus galėsime sužinoti daugiau apie saugumo incidentus, dėl kurių sprogo 911. Galbūt atsiras kitos tarpinės paslaugos, kurios patenkins, atrodo, šiuo metu augančią tokių paslaugų paklausą, kai pasiūla yra palyginti nedidelė.

Tuo tarpu 911 nebuvimas gali sutapti su išmatuojamu (nors tik trumpalaikiu) nepageidaujamo srauto vėlavimu į populiariausias interneto vietas, įskaitant bankus, mažmenininkus ir kriptovaliutų platformas, nes daugelis buvusių tarpinio serverio paslaugų agentų stengiasi susitarti. .

Riley KilmerisTarpinio serverio stebėjimo paslaugos įkūrėjas SpirosJis sakė, kad 911 tinklą per trumpą laiką bus sunku pakartoti.

„Mano spėjimas [911’s remaining competitors] Per trumpą laiką sulauksite daug palaikymo, bet ilgainiui ateis naujas žaidėjas, – sakė Kilmeris. – Nė viena iš jų nėra gera „LuxSocks“ ar 911 alternatyva. Tačiau visi jie leis jais naudotis bet kam. Kalbant apie sukčiavimo įkainius, bandymai bus tęsiami, tačiau naudojant šias pakeitimo paslaugas turėtų būti lengviau stebėti ir sustabdyti. 911 turi keletą labai švarių IP adresų. “

911 nebuvo vienintelis pagrindinis tarpinio serverio tiekėjas, atskleidęs šios savaitės įsilaužimą, susijusį su neautentifikuotomis API: Liepos 28 d. KrebsOnSecurity pranešė, kad Atskleistos žiniatinklio vidinės API nutekėjo iš „Microleaves“ klientų duomenų bazės, kuri yra tarpinio serverio paslauga, kuri keičia savo klientų IP adresus kas penkias–dešimt minučių. Šis tyrimas parodė, kad Microleaves, kaip ir 911, ilgą laiką naudojo mokėjimo už diegimą schemas, kad platintų savo tarpinę programinę įrangą.