O wyciekach danych, tych mniejszych i tych większych, słyszymy praktycznie każdego tygodnia. Nie wszystkie z nich są jednak na tyle ciekawe by pisać o nich coś więcej niż „kolejny wyciek danych”. Słabo napisane aplikacje webowe, źle skonfigurowana infrastruktura, ataki cyberprzestępców, błędy lub umyślne działania pracowników to najczęstsze powody tego typu incydentów.
Zdarza się jednak i tak, że wyciek danych jest efektem zorganizowanej akcji hacktywistów. Taką właśnie akcję przeprowadziła w sierpniu grupa Anonymous, a ich celem stała się infrastruktura firmy Epik.com. Epik to amerykański dostawca usług hostingowych i domen znany z tego, że nie odmawia świadczenia usług klientom o alt-prawicowych poglądach. Przy czym trzeba tutaj podkreślić, że mówiąc o amerykańskiej alt-prawicy mówimy o ruchach jawnie nawołujących do dyskryminacji rasowej, białej supremacji, nacjonalizmu, antysemityzmu, neonazizmu, neofaszyzmu czy mizogini. Wśród ugrupowań tych nierzadko pojawiają się teorie zaprzeczające istnieniu Holokaustu czy oskarżające Żydów o zorganizowanie zamachów z 11 września 2001r. Ostatnio natomiast popularność zdobywają hasła antyszczepionkowe. Poniżej dla oddania klimatu zdjęcie z organizowanego przez alt-prawicę w sierpniu 2017 i 2018 zlotu „Unite The Right”:
Z usług Epik korzystają m.in. tak kontrowersyjne serwisy jak 8chan (nie mylić z 4chan-em, ósemka w nazwie nawiązuje do kultu Adolfa Hitlera – „H” to ósma litera alfabetu, często pojawia się w nazwach ugrupowań neonazistowskich, podobnie jak symbol „88” będący skrótem od „heil hitler”) czy Daily Stormer (daruję sobie linkowanie, zerknąłem na chwilę i przyzwoitość mi nie pozwala). Oba serwisy były już kilkakrotnie banowane i wyrzucane z infrastruktury innych hostingodawców, m.in. po tym jak w 2017 r. powiązany z nimi ideologicznie zamachowiec wjechał samochodem w grupę protestujących zabijając jedną i ciężko raniąc kolejne kilkadziesiąt osób. Wówczas nawet Epik wydał oświadczenie, iż w związku z radykalizacją poglądów przestaje świadczyć usługi hostingowe dla 8chan-a.
Było jednak prawdą tylko częściowo. Epik przestał bowiem świadczyć jedynie usługi typu content delivery (serwowanie treści) ze swoich serwerów. Nadal jednak utrzymywał DNS-y dla kontrowersyjnych domen, których nazwy były rozwiązywane na adresy IP hostowane u innych dostawców. Wielu z tych dostawców (m.in. Amazon, Voxility, Linode) wydało oświadczenia, w których zobowiązali się dochować wszelkich starań aby żadna cześć ich infrastruktury nie była bezpośrednio, ani nawet pośrednio zaangażowana w utrzymanie serwisów szerzących nienawistne treści.
Operation Jane
Akcję pod tytułem „Operation Jane” Anonymous rozpoczęli po przyjęciu przez Teksas restrykcyjnego prawa antyaborcyjnego, które weszło w życie z dniem 1 sierpnia 2021 r. Zgodnie z nim osoby prywatne, niekoniecznie organy rządowe czy policja, mają prawo egzekwować sześciotygodniowy zakaz aborcji. Ustawa mówi, iż każdy mieszkaniec Teksasu może wnieść pozew cywilny przeciwko każdej osobie, która wykonuje lub pomaga w ułatwianiu nielegalnej aborcji – i domagać się odszkodowania w wysokości co najmniej 10 000 USD.
O ataku na Epik jako jeden z pierwszych powiadomił publicysta Steven Monacelli udostępniając twitta z poniższym oświadczeniem:
Jak czytamy w oświadczeniu, wśród danych (których według innych źródeł było ponad 180GB) znaleźć można informacje pochodzące z ostatniego dziesięciolecia, w tym:
- Nazwy domen i ich rejestratorów
- Historię płatności
- Dane uwierzytelniające klientów usług hostingowych, wewnętrznych systemów i serwerów Epik
- Profile VPN
- Ponad 500 tys. kluczy prywatnych
- Zawartość skrzynek mailowych pracowników
- Repozytoria Git wewnętrznych aplikacji
- Klucze SSH
- Zawartość katalogów /home/ oraz /root/ z kluczowych systemów
Co gorsza, dane udostępnione zostały jako plain text (w formie niezakodowanej) gdyż Epik do hashowania haseł stosował algorytm MD5, co pozwoliło na ich szybkie złamanie. Jako przykład opublikowane zostało hasło założyciela i CEO firmy Epik – Roberta Monstera, które po złamaniu brzmiało „willem”.
Anonymous tytułem „Epik Fail” żartobliwie nawiązują do nazwy firmy i życzą jej właścicielowi powodzenia przy zmianie marki. Jednocześnie wyrażają nadzieję, że upublicznione dane pozwolą zidentyfikować osoby stojące za szerzeniem treści nazistowskich czy faszystowskich i powiązanych z nimi grup terrorystycznych.
Czy hacktywizm jest pożyteczny?
Na to pytanie padną oczywiście różne odpowiedzi w zależności od osobistych preferencji politycznych i tego która grupa hackerów kogo i pod jakim pretekstem zaatakuje. Pewnie niejedno skrajnie prawicowe ugrupowanie przeprowadzoną przez Anonymous akcję nazwie aktem lewicowego terroryzmu.
Ja jednak chciałem tutaj zwrócić uwagę na inny aspekt tego wydarzenia. Otóż o akcji Anonymous i wycieku danych z Epik.com dowiedziałem się otrzymując powiadomienie z serwisu Have I Been Pwned. Okazuje się, że moje dane znalazły się w tym wycieku. Było to o tyle zaskakujące, że do poglądów skrajnie prawicowych jest mi raczej daleko, a już na pewno nie miałem nigdy potrzeby rejestrować domeny i utrzymywać strony internetowej, której zawartość byłaby na tyle kontrowersyjna bym musiał uciekać się do poszukiwania zagranicznych usługodawców.
Przypomniałem sobie jednak, że na początku swojej kariery zawodowej zajmowałem się przez jakiś czas usługami hostingowymi i korzystałem z różnych pośredników w celu rejestracji domen. Być może któryś z nich rejestrował domeny w Epik.com ze względu na atrakcyjne warunki cenowe. Wskazywałby na to fakt, że adres mailowy, który znalazł się w wycieku pochodzi sprzed kilkunastu lat i związany jest z nazwą firmy, z którą wówczas współpracowałem jako webdeveloper.
Podsumowując, tego typu działania, nawet jeśli podyktowane szczytnymi celami mogą się przyczynić do szkody wyrządzonej osobom postronnym. Ci, którzy mnie znają prywatnie wiedzą, że trudno byłoby mi zarzucić sympatię do neonazistów. Ja jednak od dziś zapamiętam, że oskarżanie kogoś na podstawie prostego wnioskowania, że jego dane znalazły się wśród innych winnych może być krzywdzące.
