Аргентинский хакер Ch Russo сообщил, что он с двумя партнёрами обнаружил многочисленные уязвимости на thepiratebay.org, связанные с возможностью внедрения SQL-кода. С помощью этих уязвимостей они получили доступ к базе данных пользователей сайта и тем самым получили возможность создавать, удалять, изменять и просматривать все сведения о пользователях, в том числе номера и имена файловых трекеров или торрентов, загруженных пользователями.
Скриншот административной панели The Pirate Bay, показывающей недавно зарегистрированных пользователей:
Ch Russo утверждает, что ни он, ни его партнёры не изменяли и не удаляли информацию в базе данных The Pirate Bay. Но он признаёт, что они осознают, насколько этот доступ и полученная информация может быть ценна для антипиратских организаций, поддерживаемых, например, RIAA (Американская ассоциация звукозаписывающих компаний) или MPAA (Американская ассоциация кинокомпаний).
В телефонном интервью Ch Russo сказал Брайану Кребсу — автору издания KrebsOnSecurity.com, что вероятно, эти группы будут весьма заинтересованы в этой информации, но он с партнёрами не собираются её продавать. Вместо этого они хотели бы сказать людям, что их информация может быть защищена не очень хорошо.
Ch Russo показал Кребсу юзернеймы и хеши паролей в MD5 администраторов и модераторов сайта. Также Ch Russo смог прислать e-mail и хеш пароля Кребса, узнав от него только юзернейм.
В понедельник Кребс попытался связаться с администраторами через thepiratebay.org/contact, но ему так и не ответили. Он написал им на официальном IRC-канале, но после публикации юзернеймов и хешев паролей его просто забанили.
По словам Ch Russo, администраторы уже удалили компонент сайта, который облегчал доступ к базе данных пользователей, уточнив, что он не связывался с администраторами напрямую.
Скриншот административной панели The Pirate Bay, показывающей недавно зарегистрированных пользователей:
Ch Russo утверждает, что ни он, ни его партнёры не изменяли и не удаляли информацию в базе данных The Pirate Bay. Но он признаёт, что они осознают, насколько этот доступ и полученная информация может быть ценна для антипиратских организаций, поддерживаемых, например, RIAA (Американская ассоциация звукозаписывающих компаний) или MPAA (Американская ассоциация кинокомпаний).
В телефонном интервью Ch Russo сказал Брайану Кребсу — автору издания KrebsOnSecurity.com, что вероятно, эти группы будут весьма заинтересованы в этой информации, но он с партнёрами не собираются её продавать. Вместо этого они хотели бы сказать людям, что их информация может быть защищена не очень хорошо.
Ch Russo показал Кребсу юзернеймы и хеши паролей в MD5 администраторов и модераторов сайта. Также Ch Russo смог прислать e-mail и хеш пароля Кребса, узнав от него только юзернейм.
В понедельник Кребс попытался связаться с администраторами через thepiratebay.org/contact, но ему так и не ответили. Он написал им на официальном IRC-канале, но после публикации юзернеймов и хешев паролей его просто забанили.
По словам Ch Russo, администраторы уже удалили компонент сайта, который облегчал доступ к базе данных пользователей, уточнив, что он не связывался с администраторами напрямую.
