Trans ve ikili olmayan kişilere karşı taciz kampanyaları düzenlemekle tanınan İnternet forumu Kiwi Farms’ın başkanı, sitenin bilgisayar korsanlarının yönetici hesabına ve muhtemelen diğer tüm kullanıcıların hesaplarına erişmesine izin veren bir ihlal yaşadığını söyledi.
Sitede, yaratıcı Joshua Moon şunları yazdı:
Forum hacklendi. Aşağıdakileri varsaymalısınız.
- Kivi Çiftlikleri için şifrenizin çalındığını varsayın.
- E-postanızın sızdırıldığını varsayalım.
- Kiwi Farms hesabınızda geçen ay kullandığınız herhangi bir IP’nin sızdırıldığını varsayın.
Moon, saldırının arkasındaki bilinmeyen kişi veya kişilerin, bir hesap sahibinin geçerli kimlik bilgilerini girdikten ve herhangi birini başarıyla tamamladıktan sonra bir sitenin ayarladığı kimlik doğrulama çerezlerini aldığı oturum ele geçirme olarak bilinen bir teknik kullanarak yönetici hesabına erişim kazandığını söyledi. faktör doğrulama gereksinimleri. Oturum kaçırma, Kiwi Farms’ın kullanıcı forumlarını güçlendirmek için kullandığı bir site olan XenForo’ya kötü amaçlı içerik yüklendikten sonra mümkün oldu.
Moon, “Kötü bir oyuncu, XenForo’ya ses dosyası olarak gizlenmiş bir web sayfası yükleyebildi” diye yazdı. “Başka bir yerde, bu web sayfasını (muhtemelen bir satır içi çerçeve olarak) yükleyebildi ve rastgele kullanıcıların otomatik isteklerde bulunmalarına ve kimlik doğrulama çerezlerini site dışına göndermelerine neden oldu, böylece saldırgan bunu hesaplarına erişmek için kullanabilir. Yönetici hesabım bu mekanizma yoluyla ele geçirildi.”
Saldırgan daha sonra XenForo’ya her kullanıcının e-posta adresini, kullanıcı adını, son etkinliğini ve diğer ayrıntılarını göndermesi için bir komut vermek için Moon’un yönetici hesabına erişimi kullandı. Moon, sistem günlüklerinin herhangi bir veri gönderilmeden önce komutun başarısız olduğunu gösterdiğini, ancak saldırganın başarılı olabilecek başka komutları veya komut dosyalarını çalıştırma olasılığını ekarte edemediğini söyledi.
XenForo’ya yüklenen dosya, belirli ses formatları tarafından kullanılan bir uzantı olan .opus ile biter. Doğrudan XenForo’ya yüklendi ve Moon’un Kiwi Farms sohbetlerini XenForo’dan gelen oturumlarla etkileşime sokmak için yazdığı özel bir Rust tabanlı sohbet programı tarafından enjekte edildi.
Betik, hedeflerin site için kullanılan bir sohbet uygulaması olan /test-chat’i yüklemesine neden oldu. Hedefler ayrıca /help/, XenForo’nun yardım belgeleri, avatarları başka bir sitenin logosuna değiştirmek için /avatar/avatar ve hedefin bir yönetici olması durumunda admin.php?tools/phpinfo da yüklendi.
Tüm kullanıcıların verilerini indirme komutu başarılı olmasa da, saldırgan, büyük olasılıkla bir iframe olarak dosyayı yükleyebildi ve bu, belirli kullanıcıların saldırgana Kiwi Farms kimlik doğrulama çerezlerini göndermesine neden oldu. Moon’un yönetici hesabının ele geçirilmesine neden olan şey budur.
Uzlaşma, içerik dağıtım ağı Cloudflare’ın geçtiğimiz hafta, Cloudflare’ın trans ve ikili olmayan bireyleri hedef alan toplu taciz ve doxxing faaliyetlerine olanak tanıdığını söyleyen eleştirmenlerden haftalarca sert tepkiler almasından sonra Kiwi Farms’a hizmet vermeyi bırakmasının ardından geldi. Cloudflare, yıllardır Kivi Çiftliklerini hedef alan dağıtılmış hizmet reddi saldırılarına karşı koruma sağladı. Cloudflare, siteye hizmet vermeye devam eden son üst düzey sağlayıcı olmuştu. Bağlantıları kopardıktan sonra Kiwi Farms, çok daha az yetenekli hizmetlere geri dönmek zorunda kaldı.
Bağımsız araştırmacı Kevin Beaumont, “Joshua’ya (Yönetici) adil olmak gerekirse, Telegram sohbetindeki yorumlarına dayanarak teknik olarak ne yaptığını biliyor gibi görünüyor,” dedi. Twitter’da yazdı ihlali belgeleyen bir iş parçacığında. “Maalesef çalıştığı tüm şirketler ve kullanıcılar için… Yapmayın.”
Joshua’ya (Yönetici) adil olmak gerekirse, Telegram sohbetindeki yorumlarına dayanarak teknik olarak ne yaptığını biliyor gibi görünüyor.
Ne yazık ki onun için çalıştığı tüm şirketler ve kullanıcılar.. yok.
— Kevin Beaumont (@GossiTheDog) 18 Eylül 2022
Timsah gözyaşları
Kiwi Farms, 2013 yılında mevcut haliyle hizmete girdi ve kısa sürede çevrimiçi taciz kampanyaları için bir merkez haline geldi. En az üç intihar, Kiwi Farms topluluğundan kaynaklanan tacize bağlandı. Forum katılımcıları, hedeflerinin kendi canlarını almaya yöneltmek olduğunu sıklıkla açıkça kabul ederler. Trans ve ikili olmayan kişiler, LGBTQ topluluğunun üyeleri ve kadınlar sıklıkla hedefleniyor.
Moon, ihlal hakkında yorum ve ek ayrıntılar isteyen bir e-postaya yanıt vermedi. Pazar günü, siteyi yeniden çalıştırmak için yapılması gereken çalışmaları açıklarken, hiçbir ironi belirtisi göstermeden kendini kurban olarak göstermeye çalıştı.
“XenForo bir yıl önce bizi lisanslarından çıkardı ve yazılımları artık ihtiyaçlarımızı karşılamaya yetmiyor” diye yazdı. “Özel bir şeye ihtiyacımız vardı ama işime olan güvenim sarsıldı. Bu saldırıdaki gelişmişlik çok yüksektir ve hem Rust hem de XenForo ile yakın bir aşinalık gösterir. Kendilerini bu amaca, muhtemelen ücret karşılığı uygulamış olmaları talihsiz bir durumdur. Yaratmaktan çok yok etmeye çalışan çok daha fazla insan var.”