Хакер - Hack Overflow. Как взломали Stack Overflow и как шло расследование

https://t.me/hacker_frei

Валентин Холмогоров

Содержание статьи

• Взгляд изнутри
• Ход атаки
• Вас заметили
• Расследование
• Итоги

Нет на све­те прог­раммис­та, который не слы­шал бы о Stack Overflow. На этом чудес­ном сай­те мож­но най­ти ответ прак­тичес­ки на любой воп­рос — от спо­соба побороть хит­рый баг в коде до смыс­ла жиз­ни, все­лен­ной и все­го такого. В мае 2019 года Stack Overflow взло­мали, похитив исходни­ки плат­формы. При­чем взло­мали с исполь­зовани­ем рекомен­даций и советов, опуб­ликован­ных на самом Stack Overflow. Как это получи­лось и как уда­лось обна­ружить втор­жение?

ВЗГЛЯД ИЗНУТРИ

Нес­мотря на то что боль­шинс­тво поль­зовате­лей вос­при­нима­ют Stack Overflow как бес­плат­ный ресурс для поис­ка отве­тов на тех­ничес­кие воп­росы о прог­рамми­рова­нии и адми­нис­три­рова­нии, это в пер­вую оче­редь ком­мерчес­кий про­ект. Сайт вхо­дит в сос­тав гло­баль­ной сети Stack Exchange Network, объ­еди­няющей нес­коль­ко пор­талов с воп­росами и отве­тами в раз­ных областях зна­ний, которые соб­раны на еди­ной плат­форме. Stack Overflow, дви­жок которо­го написан на С# с исполь­зовани­ем ASP.NET, стал пер­вым ресур­сом в этой сети.

Поль­зовате­ли пор­тала могут не прос­то задавать воп­росы и отве­чать на них, но и наращи­вать собс­твен­ную репута­цию бла­года­ря активно­му учас­тию в жиз­ни сай­та. Рей­тинг дает боль­ше воз­можнос­тей: допол­нитель­ный вес голоса при оцен­ке отве­тов, воз­можность редак­тировать чужие тек­сты и пос­ты — вплоть до модера­тор­ских пол­номочий. Stack Overflow быс­тро наб­рал популяр­ность: уже спус­тя четыре года пос­ле появ­ления его ауди­тория вырос­ла до двух мил­лионов пос­тоян­ных поль­зовате­лей и про­дол­жала понем­ногу уве­личи­вать­ся.

Мо­нети­зиру­ется пло­щад­ка за счет рек­ламы (поль­зовате­ли с высоким рей­тин­гом видят мень­ше объ­явле­ний) и встро­енно­го сер­виса по под­бору пер­сонала Stack Overflow Careers (поз­же пере­име­нован­ного в Talents), который поз­воля­ет сто­рон­ним фир­мам и рек­рутин­говым агентствам искать сот­рудни­ков сре­ди населя­ющих сайт прог­раммис­тов. Кро­ме того, Stack Overflow про­дает биз­нес‑вер­сию сво­его движ­ка и ока­зыва­ет тех­поддер­жку фир­мам, жела­ющим раз­вернуть собс­твен­ный сер­вис воп­росов‑отве­тов. Этот про­дукт нацелен на коман­ды раз­работ­чиков и поз­воля­ет соз­давать базы зна­ний для внут­рикор­поратив­ного исполь­зования. Называ­ется он Stack Teams.

Все эти ком­мерчес­кие про­екты неп­рерыв­но обновля­ются и совер­шенс­тву­ются. Прог­раммис­ты устра­няют выяв­ленные ошиб­ки, добав­ляют новые фун­кции, опти­мизи­руют код, улуч­шают интерфейс. При раз­работ­ке исполь­зуют­ся решения для тес­тирова­ния и кон­тро­ля вер­сий, репози­тории для хра­нения кода, билд‑сер­веры, баг‑тре­керы и вики для внут­ренней докумен­тации. Короче, все как у боль­ших соф­твер­ных кор­пораций. С той лишь раз­ницей, что боль­шинс­тво сот­рудни­ков Stack Exchange работа­ют уда­лен­но и под­клю­чают­ся к необ­ходимым ресур­сам через интернет.

Эта внут­ренняя инфраструк­тура и ста­ла целью ата­ки неиз­вес­тно­го на дан­ный момент зло­умыш­ленни­ка. А если точ­нее, он пытал­ся добыть исходный код Stack Overflow, который не пос­тавля­ется ком­мерчес­ким кли­ентам, и этой цели ему в ито­ге уда­лось дос­тичь.

ХОД АТАКИ

Как извес­тно, любая хакер­ская ата­ка начина­ется с раз­ведки. Таинс­твен­ный зло­умыш­ленник начал про­щупы­вать инфраструк­туру, свя­зан­ную с сер­висами хра­нения исходни­ков и сбор­ки бил­дов ком­мерчес­ких про­дук­тов Stack Exchange, еще 30 апре­ля 2019 года. По всей видимос­ти, реког­носци­ров­ка вклю­чала в себя стан­дар­тные мероп­риятия вро­де поис­ка суб­доменов, обще­дос­тупных ресур­сов и ска­ниро­вания пор­тов. Кро­ме того, он попытал­ся зай­ти в слу­жеб­ный чат для сот­рудни­ков Stack Exchange, но не смог получить дос­туп туда.

На сле­дующий день, 1 мая, хакер попытал­ся решить свою задачу «в лоб»: пред­ста­вив­шись одним из кор­поратив­ных кли­ентов, он отпра­вил зап­рос в тех­поддер­жку с прось­бой выс­лать ему исходный код Enterprise-про­дук­та в целях ауди­та. Не про­кати­ло: во‑пер­вых, Stack Exchange не пре­дос­тавля­ет исходни­ки сво­им поль­зовате­лям, а во‑вто­рых, адрес элек­трон­ной поч­ты зло­умыш­ленни­ка не уда­лось сопос­тавить ни с одним из реаль­ных кли­ентов ком­пании. Заяв­ка была ожи­даемо откло­нена.

Но это отнюдь не осту­дило пыл хакера. Зарегис­три­ровав­шись в сер­висе Stack Teams, он начал иссле­довать его воз­можнос­ти, отправ­ляя приг­лашения при­соеди­нить­ся к сер­вису на дру­гие свои учет­ки — веро­ятно, что­бы иссле­довать генери­руемые при этом зап­росы и откли­ки сер­вера. Одновре­мен­но он вни­матель­но изу­чал темати­чес­кие вет­ки на самом Stack Overflow, свя­зан­ные с про­дук­том Enterprise и сер­висом Teams.

Вос­поль­зовав­шись информа­цией из этих пуб­ликаций, он соз­дал еще одно обра­щение в тех­поддер­жку, на сей раз он при­менил спу­финг адре­са элек­трон­ной поч­ты реаль­ного кли­ента Stack Exchange. Одна­ко по это­му адре­су было нап­равле­но авто­мати­чес­кое сооб­щение о соз­дании тикета, и в ито­ге обра­щение тоже было откло­нено служ­бой тех­поддер­жки как подоз­ритель­ное.

INFO

Спу­финг элек­трон­ной поч­ты — под­делка час­ти сооб­щения email и его тех­ничес­ких парамет­ров с целью ввес­ти получа­теля в заб­лужде­ние. Пись­мо мошен­ника в таком слу­чае выг­лядит так, буд­то оно отос­лано дру­гим (доверен­ным) отпра­вите­лем.

В пос­леду­ющие дни ата­кующий тща­тель­но изу­чал про­фили сот­рудни­ков сап­порта Stack Exchange и осо­бен­ности обра­бот­ки зап­росов от поль­зовате­лей, но, видимо, не нашел ничего инте­рес­ного. Зато в одном из откры­тых репози­тори­ев ком­пании на GitHub он обна­ружил URL архи­ва с исходным кодом Stack Overflow, выложен­ного на при­ват­ном акка­унте GitHub Enterprise. Хакер попытал­ся ска­чать архив, но был перенап­равлен на стра­ницу авто­риза­ции. Сно­ва неуда­ча.

На­конец, 5 мая 2019 года нас­той­чивость ата­кующе­го была воз­награж­дена. Нас­трой­ки кон­тро­ля дос­тупа в Stack Exchange допус­кали имперсо­нацию поль­зовате­лей в тес­товых целях, бла­года­ря чему зло­умыш­ленни­ку уда­лось подоб­рать парамет­ры зап­роса, поз­воля­ющие авто­ризо­вать­ся в сис­теме на уров­не раз­работ­ки. Вслед за этим взлом­щик попытал­ся зай­ти на ряд внут­ренних ресур­сов, URL которых он нашел в докумен­тации на пор­тале под­дер­жки Enterprise-вер­сии про­дук­та, но прак­тичес­ки вез­де получил отказ в дос­тупе из‑за отсутс­твия необ­ходимых при­виле­гий. Вез­де, кро­ме одно­го слу­жеб­ного пор­тала, с помощью которо­го он смог повысить собс­твен­ные пра­ва до Community Manager — это роль, соот­ветс­тву­ющая уров­ню модера­тора сай­та.

К огромно­му разоча­рова­нию хакера, получен­ный ста­тус все рав­но не открыл дос­туп к инте­ресу­ющим его слу­жеб­ным ресур­сам Stack Exchange, и он начал искать спо­собы повысить свои при­виле­гии до раз­работ­чика. С этой целью хакер решил вос­поль­зовать­ся механиз­мом вос­ста­нов­ления дос­тупа к учет­ной записи.

Для сбро­са пароля учет­ки в Stack Exchange исполь­зует­ся сооб­щение email с «вол­шебной ссыл­кой» — этот тра­дици­онный спо­соб всег­да счи­тал­ся дос­таточ­но надеж­ным. Одна­ко у поль­зовате­лей с при­виле­гиями Community Manager есть воз­можность прос­матри­вать содер­жимое авто­мати­чес­ки отправ­ляемых сай­том писем. Таким обра­зом взлом­щик получил при­виле­гии раз­работ­чика, а заод­но — дос­туп к нас­трой­кам сай­та, вклю­чающим управле­ние мно­гими внут­ренни­ми его фун­кци­ями.

В течение некото­рого вре­мени хакер увле­чен­но изу­чал открыв­шиеся перед ним воз­можнос­ти, тес­тировал нас­трой­ки сай­та и пытал­ся понять, какими фун­кци­ями он теперь может управлять. Сре­ди про­чих парамет­ров он неожи­дан­но нат­кнул­ся на дан­ные учет­ной записи билд‑сер­вера TeamCity. Эта тех­ничес­кая учет­ка рань­ше исполь­зовалась для дос­тупа к TeamCity REST API непос­редс­твен­но из кода Stack Exchange. На вре­мя опи­сыва­емых событий эту фун­кцию уже убра­ли из кода, а вот учет­ную запись при­бить почему‑то забыли.

Об­радован­ный хакер попытал­ся вой­ти с эти­ми дан­ными на сер­вер TeamCity, нас­тро­енный на воз­можность авто­риза­ции через интернет, и из‑за неп­равиль­ной кон­фигура­ции служ­бы наз­начения ролей тут же получил к нему адми­нис­тра­тор­ский дос­туп.

INFO

TeamCity — написан­ный на Java билд‑сер­вер про­изводс­тва ком­пании JetBrains, раз­работан­ный для обес­печения неп­рерыв­ной интегра­ции. С помощью спе­циаль­ных сце­нари­ев он поз­воля­ет авто­мати­зиро­вать мно­гие рутин­ные про­цес­сы раз­работ­ки, вклю­чая отсле­жива­ние изме­нений в раз­ных вет­вях репози­тория, про­гон тес­тов, сбор­ку при­ложе­ния и его заг­рузку на сер­вер обновле­ний. TeamCity час­то исполь­зует­ся ком­пани­ями, которые работа­ют со сте­ком тех­нологий C#/ASP.NET.

Та­кой оглу­шитель­ный успех, по всей видимос­ти, стал сюр­при­зом для самого взлом­щика. Судя по тому, что он начал активно искать на Stack Overflow информа­цию о нас­трой­ке и исполь­зовании TeamCity, с этим про­дук­том он стол­кнул­ся впер­вые. Для начала хакер смог заг­рузить с сер­вера и изу­чить некото­рые сце­нарии нас­трой­ки кон­фигура­ции для Enterprise-про­дук­тов Stack. Одновре­мен­но с этим он про­дол­жает копать­ся в спра­воч­ных раз­делах на Stack Overflow в поис­ках све­дений о нас­трой­ке IIS, воз­можнос­тях TeamCity и осо­бен­ностях про­дук­тов Stack Teams. Изу­чение мат­части заняло у него нес­коль­ко дней.

В сре­ду, 8 мая (то есть на девятый день пос­ле пер­вой попыт­ки про­ник­нуть в инфраструк­туру Stack Exchange), зло­умыш­ленник прос­матри­вал адми­нис­тра­тив­ные ресур­сы TeamCity и слу­чай­но нат­кнул­ся на раз­дел диаг­ности­ки, поз­воля­ющий прос­матри­вать фай­лы на билд‑сер­вере. Сре­ди них он обна­ружил хра­нящий­ся в обыч­ном плейн‑тек­сте ключ SSH, который исполь­зовали аген­ты сбор­ки для получе­ния исходно­го кода из GitHub Enterprise. Тут сле­дует отме­тить, что если в учет­ную запись GitHub добав­лен откры­тый SSH-ключ, то этот ключ может исполь­зовать­ся для дос­тупа к репози­торию без допол­нитель­ной аутен­тифика­ции.

Это­го ока­залось дос­таточ­но, что­бы хакер успешно кло­ниро­вал нес­коль­ко клю­чевых репози­тори­ев (пока шел про­цесс кло­ниро­вания, он искал на Stack Overflow информа­цию по сбор­ке про­ектов .NET). Одновре­мен­но зло­дей попытал­ся авто­ризо­вать­ся в GitHub Enterprise нап­рямую с учет­ными дан­ными служ­бы, которые он рань­ше исполь­зовал для дос­тупа к TeamCity. Но тут его жда­ла неуда­ча: адми­ны ком­пании догада­лись нас­тро­ить в сво­ем экзем­пля­ре GitHub Enterprise двух­фактор­ную аутен­тифика­цию, а ском­про­мети­рован­ная учет­ка не вхо­дила в груп­пу Active Directory, которой был раз­решен туда дос­туп.

На сле­дующий день хакер безус­пешно попытал­ся под­клю­чить­ся к VPN Stack Exchange с исполь­зовани­ем вир­туаль­ной машины Azure и дан­ных учет­ной записи, открыв­шей ему дос­туп к TeamCity. Одновре­мен­но с этим он про­дол­жал искать информа­цию на Stack Overflow об осо­бен­ностях сбор­ки при­ложе­ний .NET под IIS, а так­же о выпол­нении сце­нари­ев SQL в сре­де Azure.

ВАС ЗАМЕТИЛИ

11 мая зло­умыш­ленник извлек все копии кло­ниро­ван­ных им репози­тори­ев и начал иссле­довать жур­налы сбор­ки и кон­фигура­ции TeamCity. Затем он нас­тро­ил в TeamCity сопос­тавле­ние имен поль­зовате­лей Git таким обра­зом, что­бы в жур­налах ауди­та учет­ная запись аген­та сбор­ки, с которой сопос­тавлен ском­про­мети­рован­ный ключ SSH, выг­лядела дру­гой учет­ной записью.

Пос­ле это­го хакер соз­дал в TeamCity новый про­ект, отклю­чил для него про­вер­ку изме­нений в Git и попытал­ся сде­лать нес­коль­ко сбо­рок с раз­ными кон­фигура­циями, что­бы получить дос­туп к внут­ренней базе дан­ных Stack Exchange и сис­теме управле­ния пакета­ми NuGet.

Пос­ле ряда неудач­ных попыток взлом­щик пошел дру­гим путем. Он зарегис­три­ровал на GitHub обще­дос­тупную сущ­ность gist, содер­жащую набор SQL-инс­трук­ций, и соз­дал на сер­вере TeamCity работа­ющую сбор­ку, которая выпол­няла с исполь­зовани­ем этих инс­трук­ций миг­рацию SQL для базы дан­ных с информа­цией о поль­зовате­лях Stack Exchange. Это поз­волило взлом­щику повысить свои при­виле­гии в сети Stack до адми­нис­тра­тор­ских.

Пос­ле успешно­го выпол­нения SQL-зап­роса хакер начал стре­митель­но заметать сле­ды ата­ки — уда­лил все соз­данные им сбор­ки и почис­тил исто­рию в логах TeamCity. Единс­твен­ное, чего он не пре­дус­мотрел, так это того, что на сер­вере было нас­тро­ено некото­рое подобие «кор­зины», из которой впос­ледс­твии мож­но вос­ста­новить уда­лен­ные объ­екты. Это дало иссле­дова­телям воз­можность изу­чить хро­ноло­гию его дей­ствий.

12 мая нес­коль­ко учас­тни­ков сооб­щес­тва уве­доми­ли адми­нов Stack о появ­лении нового подоз­ритель­ного поль­зовате­ля, при­виле­гии которо­го без видимых при­чин вырос­ли до небыва­лых высот — он получил дос­туп на уров­не раз­работ­чика и адми­нис­тра­тора ко всем сай­там и ресур­сам в сети Stack Exchange. Эти фак­торы зас­тавили ответс­твен­ных сот­рудни­ков заподоз­рить: что‑то в сети, воз­можно, идет не так.

Ад­мины обра­тились к базе дан­ных, где сох­раня­ется жур­нал все­го тра­фика к обще­дос­тупным ресур­сам Stack Exchange. Исполь­зуя иден­тифика­тор подоз­ритель­ной учет­ной записи, они пос­тарались вычис­лить все свя­зан­ные с ней IP-адре­са и про­чую информа­цию, которая помог­ла бы вычис­лить зло­умыш­ленни­ка. На выходе получи­лось более 75 тысяч строк дан­ных, которые им пред­сто­яло тща­тель­но изу­чить.

РАССЛЕДОВАНИЕ

Со­пос­тавив логи с информа­цией из дру­гих источни­ков, иссле­дова­тели приш­ли к выводу, что повыше­ние при­виле­гий неиз­вес­тно­го поль­зовате­ля — это куль­минация ата­ки, для­щей­ся вот уже на про­тяже­нии 13 дней. Не имея точ­ного пред­став­ления о ее мас­шта­бе, в пер­вую оче­редь они уда­лили подоз­ритель­ную учет­ку и при­нялись искать в логах информа­цию о деятель­нос­ти зло­умыш­ленни­ка в сети. Имен­но бла­года­ря сох­ранив­шимся в жур­налах дан­ным впос­ледс­твии уда­лось вос­ста­новить хро­ноло­гию ата­ки — вплоть до поис­ковых зап­росов хакера на сай­те Stack Overflow.

К 13 мая про­веден­ная на работе бес­сонная ночь поз­волила сот­рудни­кам Stack опре­делить метод эска­лации при­виле­гий. Пос­ле это­го они отклю­чили сер­вер TeamCity и уда­лили учет­ную запись служ­бы, которую взлом­щик исполь­зовал для дос­тупа к билд‑сер­веру. Одна­ко собс­твен­ных ресур­сов для про­дол­жения рас­сле­дова­ния и пре­дот­вра­щения пос­ледс­твий взло­ма уже не хва­тало, и руково­дите­ли Stack Exchange приз­вали на помощь сто­рон­них спе­циалис­тов по информа­цион­ной безопас­ности.

Вмес­те с экспер­тами дела пош­ли веселее. Был вос­ста­нов­лен точ­ный мар­шрут зло­умыш­ленни­ка в сети и опре­деле­ны каналы, по которым он смог про­ник­нуть на уро­вень раз­работ­ки, минуя про­вер­ку при­виле­гий дос­тупа. Что­бы адми­ны мог­ли вно­сить изме­нения в рабочую сре­ду, сер­вер TeamCity запус­тили сно­ва — но уже за бран­дма­уэром. При ревизии уда­лось обна­ружить ошиб­ку в кон­фигура­ции, которой вос­поль­зовал­ся зло­умыш­ленник, а так­же ряд обще­дос­тупных тех­ничес­ких све­дений, которые с точ­ки зре­ния безопас­ности не дол­жны были ока­зать­ся в паб­лике. Одна­ко иссле­дова­тели еще не зна­ли о том, что хакер смог добыть исходни­ки их Enterprise-про­дук­та и име­ет дей­ству­ющий SSH-ключ для дос­тупа к репози­торию на GitHub.

Тем вре­менем хакер все еще пытал­ся получить дос­туп к сер­веру TeamCity, дос­тупно­му теперь толь­ко из сети Stack (эти попыт­ки фик­сирова­лись в логах, и сот­рудни­ки служ­бы безопас­ности видели их). Так­же он активно искал на Stack Overflow обсужде­ния, каса­ющиеся спо­собов прог­рам­мно­го обновле­ния репози­тори­ев Git и соз­дания баз дан­ных SQL. Это навело безопас­ников на нехоро­шие подоз­рения.

Толь­ко 14 мая, про­дол­жая ана­лизи­ровать тра­фик зло­умыш­ленни­ка, экспер­ты выяс­нили, что хакер получил дос­туп к исполь­зуемо­му билд‑сер­вером SSH-клю­чу. Ключ немед­ленно был отоз­ван, а безопас­ники при­нялись искать попыт­ки его исполь­зования. Для это­го приш­лось перет­рясти все жур­налы тра­фика по про­токо­лам SSH и HTTPS с GitHub, и в резуль­тате выяс­нилось, что ключ исполь­зовал­ся не толь­ко служ­бой TeamCity. Пос­ле это­го локаль­ный сер­вер GitHub Enterprise тоже помес­тили за бран­дма­уэр — на слу­чай, если зло­дей получил к нему дос­туп не толь­ко по SSH.

Ад­мины Stack начали аудит всех ком­митов, которые мог выпол­нить поль­зователь, получив­ший дос­туп в репози­торий с помощью ском­про­мети­рован­ного SSH-клю­ча, но не наш­ли ничего подоз­ритель­ного. Так­же начал­ся аудит всех репози­тори­ев на пред­мет уте­чек сек­ретов и чувс­тви­тель­ных дан­ных.

Ана­лиз тра­фика показал, что хакер целенап­равлен­но не искал в сети поль­зователь­ские учет­ки и лич­ные дан­ные сот­рудни­ков Stack. Но для пущей перес­тра­хов­ки адми­ны сбро­сили учет­ные дан­ные всех поль­зовате­лей сети, к которым зло­умыш­ленник к это­му момен­ту мог получить дос­туп, а самим юзе­рам были нап­равле­ны инс­трук­ции для сме­ны паролей.

Тем вре­менем хакер про­дол­жал как ни в чем не бывало читать воп­росы и отве­ты на Stack Overflow вплоть до суб­боты 18 мая, уже не пред­при­нимая активных попыток вло­мить­ся в сеть Stack Exchange. Пос­ле чего ушел по‑англий­ски — не поп­рощав­шись. К 23 мая основная часть рас­сле­дова­ния была завер­шена, и раз­работ­чики начали выкаты­вать исправ­ления, приз­ванные пре­дот­вра­тить подоб­ные инци­ден­ты в будущем.

ИТОГИ

В резуль­тате про­веден­ного собс­твен­ного рас­сле­дова­ния и ауди­та с помощью нанятых спе­цов руково­дите­ли Stack приш­ли к сле­дующим выводам.

• Од­на из при­чин взло­ма — в том, что боль­шинс­тво сот­рудни­ков Stack Exchange работа­ет уда­лен­но. Билд‑сер­вер и сис­тема кон­тро­ля вер­сий для облегче­ния дос­тупа изна­чаль­но были нап­рямую под­клю­чены к интерне­ту, хотя их сле­дова­ло бы спря­тать за фай­рво­лом.
• На исполь­зуемом Stack экзем­пля­ре GitHub Enterprise была нас­тро­ена двух­фактор­ная аутен­тифика­ция, но хакер сумел лов­ко обой­ти ее с помощью похищен­ного клю­ча SSH.
• На сер­вере TeamCity исполь­зовалась нас­трой­ка, допус­кавшая груп­повое наз­начение при­виле­гий по умол­чанию. Эта ошиб­ка в кон­фигура­ции была допуще­на мно­го лет назад и не была исправ­лена. В резуль­тате все вновь соз­дава­емые поль­зовате­ли нас­ледова­ли адми­нис­тра­тив­ные при­виле­гии. Адми­нис­тра­торы в TeamCity могут прос­матри­вать фай­лы на сер­вере, где такие вещи, как клю­чи SSH, хра­нят­ся в виде обыч­ного тек­ста.
• Дос­туп к докумен­тации о под­дер­жке кор­поратив­ного про­дук­та Stack Exchange был открыт неог­раничен­ному кру­гу заин­тересо­ван­ных лиц — пос­ле инци­ден­та дос­туп откры­ли толь­ко авто­ризо­ван­ным поль­зовате­лям это­го про­дук­та.

Ре­бятам из Stack повез­ло преж­де все­го с тем, что они дотош­но и парано­идаль­но жур­налиру­ют вооб­ще весь тра­фик, иду­щий на их пуб­личные и слу­жеб­ные сер­висы. Имен­но эти логи поз­волили им в ито­ге про­вес­ти рас­сле­дова­ние и вос­ста­новить хро­ноло­гию событий — ведь невоз­можно изу­чить то, чего нет.

Кро­ме того, они серь­езно отно­сят­ся к сооб­щени­ям поль­зовате­лей о наруше­ниях безопас­ности — передан­ная учас­тни­ками комь­юни­ти информа­ция о подоз­ритель­ной активнос­ти поз­волила отре­аги­ровать на ата­ку, хоть и спус­тя поч­ти две недели пос­ле ее начала.

Воз­можно, обна­ружить втор­жение уда­лось бы и рань­ше, если бы в Stack обра­щали вни­мание на необыч­ные и подоз­ритель­ные зап­росы в тех­поддер­жку, которые могут быть попыт­ками исполь­зования методов соци­аль­ной инже­нерии, — до инци­ден­та подоб­ные явле­ния сап­порт поп­росту игно­риро­вал.

Кро­ме все­го про­чего, в инфраструк­туру Stack Exchange был внед­рен спе­циаль­ный механизм опо­веще­ния о повыше­нии при­виле­гий. Теперь при изме­нении уров­ня дос­тупа учет­ной записи до «раз­работ­чика» сер­вер отправ­ляет авто­мати­чес­кое уве­дом­ление груп­пе поль­зовате­лей, которые могут под­твер­дить, что это событие легитим­но. В Stack искрен­не наде­ются, что пред­при­нятый ком­плекс мер поз­волит им избе­жать подоб­ных инци­ден­тов в будущем.

Читайте ещё больше платных статей бесплатно: https://t.me/hacker_frei