Что случилось с Anime News Network?

Статус домена Anime News Network на 15 августа

7 августа 2017 г. при попытке доступа к Anime News Network (ANN) стало выдаваться сообщение об ошибке:

Не удается получить доступ к сайту
Не удается найти DNS-адрес сервера www.animenewsnetwork.com.

Обращение к animenewsnetwork.com отсылает к стороннему сайту из сети Cloudflare, где демонстрируется заставка с фоновым воспроизведением дурацкой композиции Ruben Slikk «Совсем как нигга»:

Заставка фейкового ANN

Обновление от 23 августа: www.animenewsnetwork.com все еще недоступен и WHOIS сервис ICANN продолжает сообщать все ту же (см. ниже) информацию о домене.

Обновление от 30 августа: домен www.animenewsnetwork.com восстановлен.

7 августа: Информация о домене animenewsnetwork.com

Контактные данные владельца домена

Имя: nathan ahh
Организация: jajajja
Почтовый адрес: 420 aicin lane, hsusgsugs 0000 CN
Телефон: +852.2515255151
Факс: +852.2515255151
Е-мейл: nath@gmail.com

Важные даты

Дата последнего изменения информации о доменном имени: 2017-08-07 16:00 по Гринвичу

Источник: WHOIS animenewsnetwork.com, ICANN, версия от 7 августа 2017 г.

7 августа: Сообщение ANN в Facebook

ANN испытывает технические трудности, но мы работаем над их устранением и вскоре должны вернуться к работе.

Источник: @animenewsnetwork (Anime News Network), Facebook, 7 августа 2017 г.

[Перевод мой.]

8 августа: Что происходит с Anime News Network?

Прошлым вечером Anime News Network подвергся очень серьезной хакерской атаке, которая сделала недоступным наш оригинальный домен www.animenewsnetwork.com и домен электронной почты — это означает, что на этот момент вы не сможете написать нам через animenewsnetwork.com е-мейл аккаунт. Мы работаем над восстановлением их работы.

В дополнение, пострадал сам домен AnimeNewsNetwork, но не наши сервера. Ваша личная информация в безопасности, хотя мы и рекомендуем на всякий случай поменять ваши пароли.

Во время атаки хакер также получил доступ к некоторым нашим Twitter аккаунтам, таким как @anime и @animenewsnet, а также многим личным аккаунтам наших сотрудников, как @ANN_Ed and @ANNZac. Мы все еще работаем над зачисткой всех последствий атаки. Это трудоемкий процесс, который займет некоторое время, поэтому пока мы живем в домене AnimeNewsNetwork.cc.

Пожалуйста, распространите эту информацию в социальных медиа, поскольку это наш новый (временный) дом в настоящий момент! Мы будем держать вас в курсе, если ситуация будет меняться. Мы извиняемся за доставленный неудобства и вскоре мы должны возвратиться к нормальной жизни.

Обновление от 9 августа: мы восстановили контроль над аккаунтом @anime в Twitter, но при этом потеряли список наших подписчиков. Если вы были им раньше, вы наверняка захотите нажать эту клавишу заново.

Источник: Update: What’s Going On with Anime News Network, Anime News Network, версия от 10 августа 2017 г.

Опубликовано: 8 августа 2017 г. в 11:43 североамериканского восточного времени.

[Перевод мой.]

9 августа: Комментарий Zac Bertschy на ANN

Итак, хакер получил контроль над моим оригинальным Twitter аккаунтом (@ANNZac) и сделал так, что он стал заблокирован, посылая от его имени множество угроз по разным адресам. Они сделали то же самое с @anime, но данный случай воспринимается как корпоративный инцидент, а не персональный. Я послал апелляцию в Twitter и они мне ответили, что не собираются восстанавливать мой аккаунт, заблокированный из-за угроз.

(Zac Bertschy, главный редактор ANN, по слухам также является основным владельцем ресурса — S John.)

Источник: Zac Bertschy, Anime News Network, 9 августа 2017 г.

[Перевод мой.]

11 августа: Как ANN был взломан

Как вам уже известно, 7 августа Anime News Network был взломан. Теперь, как это случилось.

7 августа какой-то человек обратился в мою телефонную компанию, чтобы инициировать перевод моего номера на новую SIM карту (в США вы можете при смене телефонной компании сохранить свой старый номер; по всей видимости именно эта операция имелась в виду — S John). Этот человек звонил три раза и ни разу не смог пройти процесс идентификации. После 3-х неудач они зашли на веб-сайт моей телефонной компании и связались со службой поддержки через онлайн чат. И в этот раз им удалось убедить службу поддержки выполнить перевод номера.

На настоящий момент времени мне еще не понятно, было ли случившееся следствием пренебрежения своими обязанностями представителя службы поддержки, или хакеры воспользовались недостатками в системе безопасности моей телефонной компании или моего аккаунта. Однако, некоторые обстоятельства произошедшего склоняют меня к выводу, что главной проблемой стало неверное решение представителя службы поддержки, которое внесло вклад в общий успех хакерской атаки.

Найти номер моего личного телефона не составляло труда: он имеется на моих бизнес карточках, в моем каждом е-мейл сообщении и в WHOIS информации ANN.

Используя контроль над номером моего телефона, хакеры сумели воспользоваться функцией восстановления аккаунта, чтобы получить доступ к аккаунту моей почты (скорее всего имеется в виду функция восстановление пароля с помощью SMS сообщения — S John). Естественно, е-мейл аккаунт, который стал целью их атаки, был именно тем, который используется для доступа к регистрационной записи домена ANN. Имея контроль над моим е-мейл аккаунтом, они смогли изменить пароль аккаунта регистрации нашего домена и затем перевести домен к другой компании-регистратору из Гонконга.

Они также использовали мой телефонный номер, чтобы заменить пароль Twitter аккаунта @Anime, принадлежащего ANN, удалить аккаунт и затем сменить имя своего собственного аккаунта на @Anime.

Имея контроль над доменом AnimeNewsNetwork.com, хакеры теоретически могли читать почту, посланную на е-мейл адреса в домене AnimeNewsNetwork.com, и у нас имеются причины подозревать, что они действительно это делают. Поэтому не посылайте писем на наш старый адрес.

Кроме почты, хакеры не получили никакого доступа к нашим серверам. Они никогда не имели доступа ни к чему на наших серверах, ни к паролям, ни к пользовательской информации, и ничего не было испорчено.

С момента хакерской атаки мы сумели восстановить полный контроль над всем, кроме нашего доменного имени. Мы ожидаем вскоре возвратить обратно наш домен, однако нас предупредили, что процесс восстановления домена ICANN может занять период времени от нескольких дней до нескольких недель.

—

Мы получили хороший урок из всей этой истории. На персональном уровне, я проследил, что моя телефонная компания сейчас имеет более высокий уровень безопасности моего аккаунта и что онлайн доступ к нему запрещен. Это важный урок для тех, кто полагается на мобильный телефон/SMS 2-х уровневый идентификационный механизм и/или на связанную с ним процедуру восстановления пароля. Ваш мобильный телефон может не быть настолько безопасен, насколько вы рассчитываете.

На стороне ANN мы заменяем всю нашу доменную регистрацию на более безопасную. Как только мы вернем наш AnimeNewsNetwork.com назад, он переместится к максимально безопасному (и дорогому) регистратору, который не будет производить изменений в домене без подтверждения со стороны реальных людей. Наши вторичные домены уйдут к нормальному регистратору с солидной репутацией в области безопасности. (Наш текущий регистратор поддался на обман; я работаю с ними с 90-х годов, они делали великолепные вещи в те времена, но я позволил своей эмоциональной привязанности оставить меня спепым к проблемам в безопасности сегодня.)

Более того, среди других вещей мы пересмотрим 2-х уровневую идентификацию и, более важно, установки для восстановления пароля на всех наших аккаунтах. Они определенно не будут привязаны к общеизвестным телефонным номерам.

—

Santy worm v 11 screenshot Это не первый раз, когда мы были взломаны (например, в 2004-м году сайт ANN был успешно атакован червем Santy — S John), и, возможно, не последний. Мы онлайн компания и хотя мы делаем все, что в наших силах, для обеспечения безопасности сайта, все равно в будущем кто-нибудь обязательно обнаружит новые уязвимости и ими воспользуется. Каждый раз, когда это случается, мы предпринимаем усилия, чтобы то же самое не повторилось еще раз и с каждым разом мы ликвидируем последствия атак все лучше. Надеюсь, что никто больше не сможет причинить нам ущерба такого же масштаба.

Итак, версия того, что с нами случилось:

ANN был взломан 7-ого августа;
Взлом скорее всего был произведен методом социальной инженерии;
Хакеры сумели передать наш веб домен гонконгскому регистратору, пользующемуся дурной репутацией из-за воровства доменов;
Е-майл письма, посланные после взлома на адреса @AnimeNewsNetwork.com могут читаться хакерами;
Хакеры на короткий срок получили контроль над нашим Twitter аккаунтом @Anime;
Наши серверы не были взломаны;
Пользовательские аккаунты, пароли, е-мейл адреса и остальное не пострадали;
Мобильные телефоны не идеальны для 2-х уровневой идентификации.

И последняя вещь, которую я хотел бы сказать: «Спасибо». В процессе этой ситуации мы были счастливы чувствовать поддержку и даже любовь наших читателей и деловых партнеров. На самом деле было потрясающе видеть, как каждый готов был помочь. Спасибо вам всем.

— Christopher Macdonald, главный исполнительный директор Anime News Network

Источник: Christopher Macdonald, How ANN Was Hacked, Anime News Network, 11 августа 2017 г.

[Перевод мой.]

2016 г.: История с Funimation

В июле 2016 года аниме сайт Funimation был взломан и злоумышленники получили доступ к личной информации двух с половиной миллионов пользователей. Данные включали пользовательские имена, адреса электронной почты, даты рождения и SHA1 кодированные (и salted) кэши паролей.