Хакерская группировка UGNazi сообщила о новой успешной атаке, в этот раз на интернет-сервис CloudFlare. CloudFlare представляет собой систему доставки веб-контента с динамической системой DNS-серверов. Основная задача CloudFlare - перераспределение сетевой нагрузки для обеспечения стабильной доставки веб-контента и защиты веб-сайтов от DDoS-атак. В результате неизвестных действий, хакеры получили доступ к электронной почте руководителя проекта Мэтью Принца (Matthew Prince). Используя доступ к почте, хакеры захватили контроль над системой управления проектом и базой данных с информацией о клиентах и платежной информацией. С целью демонстрации своего контроля над CloudFlare, участники UGNazi произвели подмену DNS-записей одного из клиентов сервиса, популярного интернет-форума 4chan. В результате этих действий посетители 4chan перенаправлялись на официальный веб-сайт хакерской группировки. Владелец CloudFlare опубликовал в своем блоге сообщение о том, что контроль над сервером восстановлен, а API-ключи клиентов обновлены. Вместе с тем, Мэтью Принц провел публичное расследование с целью выяснения причин взлома. Прежде всего, под обвинение в уязвимостях попала компания Google, на серверах которой был размещен почтовый ящик владельца CloudFlare. При этом Мэтью утверждал, что для почтового ящика использовалась двухуровневая авторизация, а пароль состоял из 20 случайно сгенерированных символов. Эксперты компании Google оперативно проверили алгоритмы системы двухуровневой авторизации и рассказали владельцу CloudFlare об их надежности, указав, что причины надо искать в другом месте. Тогда, Мэтью обвинил оператора сотовой связи AT&T в недостаточной защите голосовой почты, через которую, по его мнению, произошла компрометация его электронной почты. Вместе с тем, руководитель CloudFlare склонен считать, что эта атака не обошлась без приемов социальной инженерии, которые хакеры UGNazi использовали в предыдущих своих атаках. Представители AT&T пока никак не прокомментировали эти заявления. По мнению экспертов, причиной взлома электронной почты могла стать некорректная пересылка между несколькими электронными адресами владельца CloudFlare. В итоге, получив доступ к почте, размещаемой не на сервисе Google, хакерам удалось провести MITM-атаку и перехватить реквизиты доступа к серверу. По заявлению представителей UGNazi, они собираются продать скомпрометированные данные CloudFlare на веб-сервисе Darkode.
Источник