911 Proxy Service Implodes After Disclosing Breach – Krebs on Security

911 Proxy Service Implodes After Disclosing Breach – Krebs on Security

Le service 911 tel qu’il existait jusqu’au 28 juillet 2022.

911[.]re, un service proxy qui depuis 2015 a vendu l’accès à des centaines de milliers de Microsoft Windows ordinateurs quotidiennement, a annoncé cette semaine qu’elle allait fermer à la suite d’une violation de données qui a détruit des composants clés de ses opérations commerciales. L’arrêt brutal survient dix jours après que KrebsOnSecurity a publié un examen approfondi du 911 et de ses liens avec des programmes d’affiliation louches payants à l’installation qui regroupaient secrètement le logiciel proxy 911 avec d’autres titres, y compris des utilitaires “gratuits” et des logiciels piratés.

911[.]concernant c’est était l’un des premiers réseaux “proxy résidentiels”, permettant à quelqu’un de louer une adresse IP résidentielle à utiliser comme relais pour ses communications Internet, offrant l’anonymat et l’avantage d’être perçu comme un utilisateur résidentiel surfant sur le Web.

Les services de proxy résidentiels sont souvent commercialisés auprès des personnes à la recherche de la possibilité de contourner le blocage spécifique à un pays par les principaux fournisseurs de films et de médias en continu. Mais certains d’entre eux, comme le 911, construisent leurs réseaux en partie en offrant des services de “VPN gratuit” ou de “proxy gratuit” qui exécutent un logiciel qui transforme le PC d’un utilisateur en relais de trafic pour d’autres utilisateurs. Dans ce scénario, les utilisateurs peuvent en fait utiliser un service VPN gratuit, mais ils ignorent souvent que cela transformera leur ordinateur en un proxy permettant à d’autres d’utiliser leur adresse Internet pour des transactions en ligne.

Du point de vue du site Web, le trafic IP d’un utilisateur du réseau proxy résidentiel semble provenir de l’adresse IP résidentielle louée, et non du client du service proxy. Ces services peuvent être utilisés légitimement à diverses fins commerciales, telles que des comparaisons de prix ou des renseignements sur les ventes, mais sont largement utilisés pour dissimuler des activités de cybercriminalité, car ils peuvent rendre difficile le traçage du trafic malveillant jusqu’à sa source d’origine.

Comme indiqué dans l’histoire de KrebsOnSecurity du 19 911 juillet, le service de proxy opérait plusieurs systèmes de paiement par installation qui payaient les affiliés pour regrouper subrepticement le logiciel proxy avec d’autres logiciels, générant continuellement un flux constant de nouveaux proxys pour le service.

Une copie en cache de flashupdate[.]net vers 2016, montrant qu’il s’agissait de la page d’accueil d’un programme d’affiliation payant à l’installation qui encourageait l’installation silencieuse du logiciel proxy 911.

Quelques heures après cette histoire, le 911 a publié un avis en haut de son site qui disait : « Nous examinons notre réseau et ajoutons un certain nombre de mesures de sécurité pour empêcher l’utilisation abusive de nos services. Le rechargement du solde proxy et l’enregistrement de nouveaux utilisateurs sont fermés. Nous examinons tous les utilisateurs existants pour nous assurer que leur utilisation est légitime et [in] le respect de nos conditions d’utilisation. »

Dans cette annonce, l’enfer s’est déchaîné sur divers forums de cybercriminalité, de nombreux anciens clients du 911 signalant qu’ils n’étaient pas en mesure d’utiliser le service. D’autres personnes touchées par la panne ont déclaré qu’il semblait que le 911 essayait de mettre en œuvre une sorte de règles de “connaissez votre client”, que peut-être le 911 essayait simplement d’éliminer les clients qui utilisent le service pour des volumes élevés d’activités criminelles cybernétiques.

Puis, le 28 juillet, le site Web du 911 a commencé à être redirigé vers un avis qui disait : « Nous avons le regret de vous informer que nous fermons définitivement le 911 et tous ses services le 28 juillet.

Selon le 911, le service a été piraté début juillet et quelqu’un aurait trafiqué les soldes d’un grand nombre de comptes d’utilisateurs. Le 911 a déclaré que les intrus avaient abusé d’une interface de programmation d’application (API) qui gère le rechargement du compte lorsque les utilisateurs effectuent des dépôts financiers avec le service.

“Je ne sais pas comment le pirate est entré”, indique le message du 911. “Par conséquent, nous avons fermé de toute urgence le système de recharge, l’enregistrement de nouveaux utilisateurs et une enquête a été lancée.”

Message d’adieu du 911 à ses utilisateurs, publié sur la page d’accueil le 28 juillet 2022.

Cependant, les intrus sont entrés par effraction, a déclaré le 911, ont également réussi à écraser le 911 critique.[.]serveurs, données et sauvegardes de ces données.

“Le 28 juillet, un grand nombre d’utilisateurs ont signalé qu’ils ne pouvaient pas se connecter au système”, poursuit le communiqué. « Nous avons découvert que le pirate avait malicieusement endommagé les données sur le serveur, entraînant la perte de données et de sauvegardes. Leur [sic] a confirmé que le système de rechargement avait également été piraté de la même manière. Nous avons été contraints de prendre cette décision difficile en raison de la perte de données importantes qui a rendu le service irrécupérable.”

Opéré en grande partie depuis la Chine, le 911 était un service extrêmement populaire dans de nombreux forums sur la cybercriminalité, devenant en quelque sorte une infrastructure essentielle pour cette communauté après deux des concurrents de longue date du 911 : les services de cybercriminalité. VIP72 Oui luxsocks – ont fermé leurs portes l’année dernière.

Aujourd’hui, de nombreux forums sur le crime qui se sont appuyés sur le 911 pour leurs opérations se demandent à haute voix s’il existe des alternatives qui correspondent à l’échelle et à l’utilité qu’offre le 911. Le consensus semble être un “non” retentissant.

Je suppose que nous en apprendrons bientôt plus sur les incidents de sécurité qui ont provoqué l’implosion du 911. Et peut-être que d’autres services proxy émergeront pour répondre à ce qui semble être une demande croissante pour de tels services en ce moment, avec une offre relativement faible.

Pendant ce temps, l’absence du 911 peut coïncider avec un soulagement mesurable (quoique de courte durée) du trafic indésirable vers les principales destinations Internet, y compris les banques, les détaillants et les plates-formes de crypto-monnaie, car de nombreux anciens clients du service proxy se précipitent pour prendre d’autres dispositions.

Riley Kilmerco-fondateur du service de suivi par proxy Spur.us, a déclaré que le réseau 911 sera difficile à reproduire à court terme.

“Ma spéculation est [911’s remaining competitors] ils vont avoir un gros coup de pouce à court terme, mais un nouveau joueur finira par arriver”, a déclaré Kilmer. “Aucun de ceux-ci ne remplace bien les LuxSocks ou les 911. Cependant, tous permettront à quiconque de les porter. Pour les taux de fraude, les tentatives se poursuivront mais via ces services de remplacement qui devraient être plus faciles à surveiller et à arrêter. Le 911 avait des adresses IP très propres.

Le 911 n’a pas été le seul fournisseur de proxy majeur à avoir révélé cette semaine une brèche liée à des API non authentifiées : le 28 juillet, KrebsOnSecurity a signalé que des API internes exposées sur le Web avaient divulgué la base de données clients de Microleaves, un service de proxy qui fait tourner les adresses IP. de sa clientèle. toutes les cinq à dix minutes. Cette enquête a montré que Microleaves, comme 911, avait une longue histoire d’utilisation de systèmes de paiement par installation pour diffuser son logiciel proxy.

Leave a Comment

Your email address will not be published.