Der 911-Proxy-Dienst explodiert, nachdem ein Verstoß festgestellt wurde – Krebs on Security
911[.]re, der Agentendienst, der seit 2015 den Zugang zu Hunderttausenden verkauft hat Microsoft Windows Computer Daily gab diese Woche bekannt, dass es nach einer Datenschutzverletzung geschlossen wird, die wichtige Komponenten seines Geschäftsbetriebs zerstört hat. Die plötzliche Abschaltung erfolgt zehn Tage, nachdem KrebsOnSecurity einen eingehenden Blick auf 911 und seine Verbindungen zu zwielichtigen Pay-per-Install-Partnerprogrammen veröffentlicht hat, die 911-Proxy-Programme heimlich mit anderen Adressen kombiniert haben, darunter „kostenlose“ Dienstprogramme und Raubkopien.
911[.]wiederholen Er Es war eines der ursprünglichen „Residential Proxy“-Netzwerke, das es jemandem erlaubte, eine private IP-Adresse zu mieten, um sie als Relais für seine Internetkommunikation zu verwenden, was Anonymität und den Vorteil bot, als ein privater Benutzer gesehen zu werden, der im Internet surft.
Residential Proxy-Dienste werden häufig an Personen vermarktet, die die Möglichkeit suchen, länderspezifische Verbote von Film-Streaming-Anbietern und großen Medienunternehmen zu umgehen. Aber einige – wie 911 – bauen ihre Netzwerke teilweise auf, indem sie „kostenlose VPN“- oder „kostenlose Proxy“-Dienste anbieten, die von Software betrieben werden, die den Computer eines Benutzers in ein Verkehrsrelais für andere Benutzer verwandelt. In diesem Szenario erhalten Benutzer bereits einen kostenlosen VPN-Dienst, aber sie erkennen oft nicht, dass dies ihren Computer in einen Proxy verwandelt, der es anderen ermöglicht, ihre Internetadresse für Online-Transaktionen zu verwenden.
Aus der Sicht der Website scheint der IP-Verkehr des Proxy-Netzwerkbenutzers von der gemieteten privaten IP-Adresse und nicht vom Proxy-Service-Client zu stammen. Diese Dienste können rechtmäßig für verschiedene kommerzielle Zwecke verwendet werden – wie Preisvergleiche oder Verkaufsinformationen –, werden jedoch häufig missbraucht, um Aktivitäten der Cyberkriminalität zu verschleiern, da sie es schwierig machen können, böswilligen Datenverkehr bis zu seiner ursprünglichen Quelle zurückzuverfolgen.
Wie vermerkt in Crips on Security Story am 19. Juli auf 911Der Agentendienst betrieb mehrere Pay-per-Install-Systeme, die verbundene Unternehmen dazu veranlassten, das Agentenprogramm heimlich mit anderen Programmen zu verknüpfen, wodurch kontinuierlich ein stetiger Strom neuer Agenten für den Dienst geschaffen wurde.
Innerhalb weniger Stunden nach dieser Geschichte veröffentlichte 911 oben auf seiner Website eine Mitteilung mit der Aufschrift: „Wir überprüfen unser Netzwerk und fügen eine Reihe von Sicherheitsmaßnahmen hinzu, um den Missbrauch unserer Dienste zu verhindern. Die Proxy-Aufladung wurde geschlossen und die Registrierung neuer Benutzer ist abgeschlossen geschlossen Wir überprüfen jeden bestehenden Benutzer, um sicherzustellen, dass seine Verwendung rechtmäßig ist und [in] Einhaltung der Nutzungsbedingungen.
In dieser Ankündigung brach in mehreren Cybercrime-Foren die Hölle los, und viele alte 911-Kunden berichteten, dass sie den Dienst nicht nutzen konnten. Andere von dem Ausfall betroffene Personen sagten, dass 911 anscheinend versuchte, eine Art „Know your Customer“-Regel einzuführen – vielleicht versuchte 911 nur, die Kunden auszusondern, die den Dienst für ein hohes Volumen an cyberkriminellen Aktivitäten nutzen.
Dann, am 28. Juli, begann die 911-Website mit der Weiterleitung zu einer Mitteilung mit der Aufschrift: „Wir bedauern, Ihnen mitteilen zu müssen, dass wir die Notrufnummer 911 und alle ihre Dienste am 28. Juli dauerhaft geschlossen haben.“
Laut 911 wurde der Dienst Anfang Juli gehackt, und es wurde entdeckt, dass jemand die Salden einer großen Anzahl von Benutzerkonten manipuliert hatte. 911 sagte, dass die Hacker eine API missbraucht haben, die die Überlastung von Konten handhabt, wenn Benutzer Geld bei dem Dienst einzahlen.
Die 911-Nachricht lautet: „Ich bin mir nicht sicher, wie der Hacker hereingekommen ist.“ „Deshalb haben wir das Aufladesystem dringend abgeschaltet, einen neuen Benutzer registriert und eine Untersuchung eingeleitet.“
911 sagte, dass die Hacker zwar eingedrungen sind, aber auch den kritischen 911 überschreiben konnten[.]Stellen Sie Server, Daten und Sicherungskopien dieser Daten wieder her.
In der Erklärung heißt es weiter: „Am 28. Juli meldete eine große Anzahl von Benutzern, dass sie sich nicht in das System einloggen konnten.“ „Wir haben festgestellt, dass die Daten auf dem Server vom Hacker böswillig beschädigt wurden, was zum Verlust von Daten und Backups führte [sic] Er bestätigte, dass auch das Aufladesystem auf die gleiche Weise gehackt wurde. Wir mussten diese schwierige Entscheidung aufgrund des Verlusts wichtiger Daten treffen, die den Dienst nicht wiederherstellbar machten.“
911 wird größtenteils außerhalb Chinas betrieben und ist in vielen Cybercrime-Foren ein sehr beliebter Dienst. Nach zwei langjährigen 911-Konkurrenten – Malware-basierten Proxy-Diensten – ist es zu einer Art kritischer Infrastruktur für diese Community geworden. VIP72 Und die LuxSocks – Letztes Jahr haben sie ihre Pforten geschlossen.
Jetzt fragen sich viele Kriminalforen, die sich bei ihren Operationen auf den Notruf verlassen haben, laut, ob es Alternativen gibt, die dem Umfang und der Nützlichkeit des Notrufs entsprechen. Der Konsens scheint ein klares „Nein“ zu sein.
Ich denke, wir werden vielleicht bald mehr über die Sicherheitsvorfälle erfahren, die zur Explosion des Notrufs 911 geführt haben.Vielleicht werden andere Proxy-Dienste entstehen, um die derzeit anscheinend wachsende Nachfrage nach solchen Diensten mit relativ geringem Angebot zu befriedigen.
In der Zwischenzeit könnte das Fehlen von 911 mit einer messbaren (wenn auch nur kurzlebigen) Verzögerung des unerwünschten Datenverkehrs zu den wichtigsten Zielen des Internets, einschließlich Banken, Einzelhändlern und Kryptowährungsplattformen, zusammenfallen, da viele ehemalige Agenten des Proxy-Dienstes sich bemühen, Vorkehrungen zu treffen .
Riley KilmerMitbegründer des Proxy-Tracking-Dienstes SpirosDas 911-Netzwerk wird kurzfristig schwer zu replizieren sein, sagte er.
„Meine Vermutung [911’s remaining competitors] Sie werden kurzfristig viel Unterstützung bekommen, aber irgendwann wird ein neuer Spieler hinzukommen“, sagte Kilmer.„Keines davon ist eine gute Alternative zu LuxSocks oder 911. Aber alle werden es jedem erlauben, sie zu benutzen. Was die Betrugsraten betrifft, werden die Versuche fortgesetzt, aber mit diesen Ersatzdiensten, die einfacher zu überwachen und zu stoppen sein sollten. 911 hat einige sehr saubere IP-Adressen. „
911 war nicht der einzige große Proxy-Anbieter, der den Hack dieser Woche im Zusammenhang mit nicht authentifizierten APIs offenlegte: Am 28. Juli berichtete KrebsOnSecurity dies Aufgedeckte webinterne APIs, die aus der Kundendatenbank von Microleaves durchgesickert sind, ein Proxy-Dienst, der die IP-Adressen seiner Clients alle fünf bis zehn Minuten rotiert. Diese Untersuchung zeigte, dass Microleaves, wie der 911, eine lange Geschichte der Verwendung von Pay-per-Install-Systemen hatte, um seine Proxy-Software zu verbreiten.
„Bier-Geek. Der böse Ninja der Popkultur. Kaffee-Stipendiat fürs Leben. Professioneller Internet-Lehrer. Fleisch-Lehrer.“