Рельсы-рельсы, шпалы-шпалы

26 августа в сети появилась информация о появлении в открытом доступе базы данных сотрудников РЖД. База содержала сведения о более, чем 700 тысячах сотрудников госкорпорации и была размещена на сайте https://infach.me. Согласно нашим оценкам, сведения о железнодорожниках появились на сайте в районе 25 августа этого года.

27 августа, не выдержав свалившейся на него известности, ресурс благополучно прекратил свое существование. Перебои в его работе наблюдались с самого утра, что скорее всего обусловлено массовым наплывом желающих «пробить» своего друга-железнодорожника, однако, к обеду создатели сайта стали поспешно заметать следы, для начала отредактировав A-запись в DNS, а потом и вовсе прихлопнув хостинг и удалив канал в Telegram и учетку в Twitter.

Попробуем разобраться в том, что же за ресурс infach.me и какое отношение он имеет к сливу данных РЖД.

Доменное имя infach.me было зарегистрировано еще в феврале 2018 года, однако, активизировался ресурс только весной этого года. Тогда же были зарегистрированы одноименная учетка в Telegram и аккаунт в Twitter.

Хостился ресурс на серверах немецкой компании OVHcloud, что несколько странно для сайта, предназначенного для размещения противоправного контента. На одном IP-адресе с infach.me можно было найти еще один сайт - scriumms.com. Мы бы не обратили на него внимания, если бы не одна деталь: на сайте стояла переадресация на infach.me.

В отличие от Infach, whois-данные Scriumms позволили добыть кое-какую информацию. Домен был зарегистрирован на имя Eldridge Engels, при этом была указана почта chandlers_404@hotmail.com и телефон +19339808789. Казалось бы, вот она, зацепка, но все не так просто. Eldridge Engels оказался владельцем почти двух тысяч самых разных доменов, так что, если домен scriumms.com и имеет отношение к создателям infach.me, они могли просто перекупить его у массового регистратора.

Но вернемся к Infach.me. Пиар-кампания сайта началась в июне этого года. Тогда же появились и первые сообщения в Telegram и Twitter. На сайте можно было найти спарсенные сведения с сайтов ЦИАН, Авито, Домофонд и ресурсов с отзывами о врачах. Страницу, посвященную каждому человеку, можно было редактировать, дополняя информацию и размещая фотографии.

Первое внешнее упоминание сайта датировано концом июля и очень напоминает рекламный пост. Вот только посмотрите:

«Сейчас на дворе такое время, что найти можно кого угодно. Если у вас есть его фото, даже если отдельно нет, то вырежьте из груповой фотки и восользуйтесь сервисом клонфэйс findclone.ru Там регистрируетесь и добавляете фото вашего мужчины, программа ищете его в интернете. Результаты очень крутые, я нашел всех кого хотел. Дается 30 бесплатных попыток. Так же есть сервис http://infach.me/ — здесь люди добавляют информацию о своих друзьях или врагах, коллегах по работе или учебе, о случайных незнакомцах, учителях, врачах, соседях и тп. Можете и тут его поискать по номеру телефона, электронной почте, там очень гибкий поиск».

А вот характеристика ресурса, размещенная 8 августа на сайте loxotrona.net:

«Размещают у себя информацию о людях в общий доступ и требуют денег за удаление». Кстати, подобного рода вымогательства процветают в сети уже не первый год.

Любопытно, что Twitter-аккаунт администраторов сайта Infach имел всего двух подписчиков, одним из которых являлся машинист маневрового тепловоза из Екатеринбурга, а вторым – айтишник и разработчик анонимного мессенджера из Украины. При этом оба подписчика активно интересовались тематикой ИБ, и совершали операции с криптовалютами.

Вскоре после того, как, как ресурс и связанные с ним учетные записи в соцсетях прекратили свое существование, в профиле Telegram-аккаунта @Infachme появилось сообщение о намерении продать базу данных РЖД за сумму в биткоинах, эквивалентную 99 долларам США. При этом был указан несуществующий номер bitcoin-кошелька.

В процессе общения с владельцем аккаунта нам удалось получить номер действующего кошелька, однако, анализ транзакций показывает, что за последние 3 дня желающих приобрести базу железнодорожников пока не нашлось.

Впрочем, это неудивительно, учитывая поведение самого продавца. Он наотрез отказывается осуществлять сделку через гаранта или предоставлять образцы продаваемой информации, требуя авансового перечисления денег и обещая выложить базу на собственный FTP-сервер.

Какие выводы можно сделать из данной истории? Во-первых, крайне сомнительно, что создатели ресурса infach.me желали такой известности. Сайт успешно функционировал и до появления на нем данных железнодорожников, а после того, как СМИ привлекли к нему всеобщее внимание, его владельцы быстро свернули работу и стали заметать следы.

Во-вторых, все говорит о том, что слив информации произошел с недавно запущенного РЖД портала для сотрудников https://my.rzd.ru. Эту версию подтверждают, как комментарии железнодорожников в соцсетях, так и тот факт, что вскоре после распространения в СМИ информации об утечке портал РЖД прекратил свою работу. Кроме того, сегодня в СМИ появилась информация о том, что Следственный комитет сообщил о факте атаки на ресурс РЖД извне.

Хочется надеяться, что данная история послужит хорошим примером того, что проводить аудит безопасности нового сервиса следует до его официального запуска, а никак не после. Иначе его проведет кто-то другой, попутно слив полученную информацию в публичный доступ.

Ну а РЖД? Повлияет ли эта ситуация на репутацию госкорпорации? Конечно, нет. Скорее всего через пару недель никто и не вспомнит об этой утечке. Что, впрочем, никак не отрицает того факта, что для компании рангом поменьше такой слив мог бы стать фатальным.