El jefe de Kiwi Farms, el foro de Internet mejor conocido por organizar campañas de acoso contra personas trans y no binarias, dijo que el sitio experimentó una brecha que permitió a los piratas informáticos acceder a su cuenta de administrador y posiblemente a las cuentas de todos los demás usuarios.
En el sitio, el creador Joshua Moon escribió:
El foro fue hackeado. Debe asumir lo siguiente.
- Suponga que le han robado la contraseña de Kiwi Farms.
- Suponga que su correo electrónico se ha filtrado.
- Suponga que se ha filtrado cualquier IP que haya utilizado en su cuenta de Kiwi Farms en el último mes.
Moon dijo que el individuo o individuos desconocidos detrás del hackeo obtuvieron acceso a su cuenta de administrador mediante el uso de una técnica conocida como secuestro de sesión, en la que un atacante obtiene las cookies de autenticación que establece un sitio después de que el titular de la cuenta ingresa credenciales válidas y completa con éxito cualquier dos- requisitos de autenticación de factores. El secuestro de la sesión fue posible después de cargar contenido malicioso en XenForo, un sitio que Kiwi Farms utiliza para potenciar sus foros de usuarios.
“Un mal actor pudo subir una página web disfrazada de archivo de audio a XenForo”, escribió Moon. “En otro lugar, pudo cargar esta página web (probablemente como un marco en línea), lo que provocó que usuarios aleatorios realizaran solicitudes automáticas y enviaran sus cookies de autenticación fuera del sitio, para que el atacante pudiera usarlas para obtener acceso a su cuenta. Mi cuenta de administrador se vio comprometida a través de este mecanismo”.
Luego, el atacante usó el acceso a la cuenta de administrador de Moon para emitir un comando para que XenForo enviara la dirección de correo electrónico, el nombre de usuario, la última actividad y otros detalles de cada usuario. Moon dijo que los registros del sistema indicaron que el comando falló antes de que se enviaran los datos, pero que no podía descartar la posibilidad de que el atacante ejecutara otros comandos o secuencias de comandos que pudieran haber tenido éxito.
El archivo subido a XenForo termina en .opus, una extensión que usan ciertos formatos de audio. Se cargó en XenForo directamente y se inyectó mediante un programa de chat personalizado basado en Rust que Moon escribió para hacer que los chats de Kiwi Farms interactúen con las sesiones de XenForo.
El script hizo que los objetivos cargaran /test-chat, que era una aplicación de chat que Moon usó para el sitio. Los objetivos también cargaron /help/, la documentación de ayuda de XenForo, /avatar/avatar, para cambiar los avatares al logotipo de otro sitio, y admin.php?tools/phpinfo, en caso de que el objetivo fuera un administrador.
Si bien el comando para descargar todos los datos de los usuarios no pareció tener éxito, el atacante pudo cargar el archivo, muy probablemente como un iframe, lo que provocó que ciertos usuarios enviaran al atacante sus cookies de autenticación de Kiwi Farms. Esto es lo que hizo que la cuenta de administrador de Moon se viera comprometida.
El compromiso se produjo después de que la red de entrega de contenido Cloudflare la semana pasada dejara de prestar servicio a Kiwi Farms después de semanas de fuertes reprimendas de los críticos que dijeron que Cloudflare estaba permitiendo el acoso masivo y las actividades de doxing dirigidas a personas trans y no binarias. Cloudflare brindó protección contra ataques de denegación de servicio distribuidos que se han dirigido a Kiwi Farms durante años. Cloudflare había sido el último proveedor de primer nivel en continuar sirviendo el sitio. Una vez que cortó los lazos, Kiwi Farms se vio obligada a recurrir a servicios mucho menos capaces.
“Para ser justos con Joshua (el administrador), parece saber técnicamente lo que está haciendo según sus comentarios en el chat de Telegram”, investigador independiente Kevin Beaumont. escribió en Twitter en un hilo que documenta la infracción. “Desafortunadamente para él, todas las empresas con las que trabaja y los usuarios… no lo hacen”.
Para ser justos con Joshua (el administrador), parece saber técnicamente lo que está haciendo según sus comentarios en el chat de Telegram.
Desafortunadamente para él, todas las empresas con las que trabaja y los usuarios… no lo hacen.
—Kevin Beaumont (@GossiTheDog) 18 de septiembre de 2022
Lagrimas de cocodrilo
Kiwi Farms se lanzó en su forma actual en 2013 y rápidamente se convirtió en un centro de campañas de acoso en línea. Se han producido al menos tres suicidios. atado al acoso proveniente de la comunidad de Kiwi Farms. Los participantes del foro a menudo admiten abiertamente que su objetivo es impulsar a sus objetivos a quitarse la vida. Las personas trans y no binarias, los miembros de la comunidad LGBTQ y las mujeres son objetivos frecuentes.
Moon no respondió a un correo electrónico en busca de comentarios y detalles adicionales sobre la violación. El domingo, intentó presentarse como la víctima sin indicios de ironía mientras explicaba el trabajo que se requeriría para que el sitio volviera a funcionar.
“XenForo nos eliminó su licencia hace un año y su software ya no es suficiente para nuestras necesidades”, escribió. “Necesitábamos algo personalizado, pero mi confianza en mi trabajo se ha disparado. La sofisticación en este ataque es muy alta y muestra una íntima familiaridad con Rust y XenForo. Es lamentable que se hayan aplicado a este fin, probablemente a cambio de una paga. Hay mucha más gente tratando de destruir que de crear”.