Egy 15 éves azt állítja, feltörte a bombariadóval fenyegetőző e-mail fiókját
Egy 15 éves fiatal azt állítja, feltörte a bombával fenyegetőző ismeretlen(ek) e-mail fiókját, és a Redditen látható bejegyzésében alapos részletességgel számol be arról, amit tud az ügyről.
A magyar tizenéves azzal kezdi részletes, sok helyen az informatikában jártasok számára is tanulságos írását, hogy az egyetlen kiindulópontja a domain volt, amit minden bombatámadással kapcsolatos cikkben láthattak az érdeklődők: ez a coredp.com (és a harcos@coredp.com email). A fiatal szerint ez a domain egy valódi cégé volt 1994-től 2010-ig (https://en.wikipedia.org/wiki/C.O.R.E). 2010-ben a domain lejárt, és egy úgynevezett domain parking cég tulajdonában volt egy ideig, amíg vélhetően 2015. decemberében meg nem vásárolta valaki. A 15 éves fiatal szerint az akkori tulajdonos egy eléggé megkérdőjelezhető, japán prostitúcióval foglalkozó oldalt tett fel ide, ami 2018 május végéig működött. 2019 június 18-án egy vietnámi scam oldal jelent meg itt, „ingyen windows/office aktiváló kulcsokat árulva", majd 2020 májusában egy olyan oldal jelent meg, amelyen APK-kat lehetett letölteni. A fiatalember szerint ez 2024 júniusáig működött, az oldal ekkor elkezdett "SSL errorokat" megjeleníteni. A fiatal szerint a támadók valószínűleg ez idő tájt vették át az irányítást az oldal felett.
„Az oldal DNS infóit nézve jelenleg 2 namserver Cloudflare namserveren van, ami fontos lesz később: melina.ns.cloudflare.com és dylan.ns.cloudflare.com és van egy MX record ami tempm.com-ra mutat, ami számunkra érdekes lehet. Elég könnyen rá lehet jönni, ha meglátogatjuk ezt az oldalt, hogy ez egy temp mail service. A támadók ezt a mail service-t használják a domainjukkal. Csakhogy ez nem a legbiztonságosabb szolgáltatás, mert ha bárki meglátogatja ezt az oldalt (https://tempm.com/harcos@coredp.com), akkor láthatja az oda beérkezett emaileket. De ami ennél fontosabb, volt egy Pornhub és egy yandex.ru fiók regisztrálva az emaillel. A Pornhub fiókba sikerült belépnem és resetelni a jelszót, de semmi értelmeset nem találtam, csak a támadó által kedvelt videókat. A yandex.ru fiókot sajnos nem sikerült resetelni, tekintve hogy nem tudtam a fiókhoz megadott kereszt- és családnevet. Ezen kívül látszódott, hogy ugyanazt a fenyegető emailt amit a kiválasztott iskoláknak küldött, magának is elküldte néhányszor” – áll a bejegyzésben, ami ezután újabb fordulatot vesz.
„Visszatérve a Cloudflare NS-ekre, azt kell tudni CF-ről, hogy egy CF fiókhoz kötött domaineknek mindig ugyanaz a 2 name-servere lesz. Ha valaki nagyon unatkozik, a securitytrails.com-on lekérheti az összes domaint, aminek ugyanaz a name-servere, mint coredp.com-nak, ugyanezt megcsinálhatja a másik NS-el is, majd ha a két listát összehasonlítja és van egyező domain, akkor az a domain 100%-ban ugyanaz a Cloudflare fióké, ami esetünkben azt jelenti, hogy a támadóé. Én eddig jutottam a nyomozásommal, ha bárki folytatni szeretné nyugodtan, a CF namserver lookuphoz már nem volt sok kedvem. Ha bármi f*szságot írtam, az 4 shot és 4 óra alvás kombó miatt lehet, ami 15 évesen nem biztos hogy egészséges” – zárul az érdekes és egyben megdöbbentő poszt.
Csütörtökön egyébként a momentumos Tompos Márton is arról posztolt, hogy szerinte a jelek orosz háttére utalnak.
A hozzászólók jó része szerint reális, amit a fiatalember leírt, ugyanakkor többen féltik az ifjú informatikai „gurut”, „nehogy a szervek ráverjék a balhét”. „Remélem védett helyről posztoltál, mert a szervek a legkönnyebb úton fognak elindulni, és az te vagy” – írta egy jóakaró.
A fiatalember által is közzétett email címre sokan küldtek szellemes leveleket az elmúlt órákban. „Hallod, nem tudtál volna holnap robbantgatni? Mert holnap matek és töri tz lesz” – írta egyikük. „Sziasztok, munkahelyekre nem akartok küldeni ilyen üzeneteket? Légy szíves"” – fogalmazott egy munkavállaló.
