ФБР получило доступ ко всей анонимной почте Tor Mail

Александр Панасенко 29 Января 2014 - 10:50

...

ФБР случайно получило доступ к базе данных анонимного почтового сервиса Tor Mail, но до сих пор не вскрывала ее - из-за отсутствия ордера. Разрешение было получено совершенно по другому, новому делу. Помимо данных о пользователях в руках ФБР оказалось и содержимое почтовых аккаунтов. Федеральное бюро расследований имеет в своем распоряжении полную базу данных популярного анонимного почтового сервиса Tor Mail, сообщает Wired.

Этот факт был обнаружен случайно - во время слушаний по делу некоего жителя штата Флорида, промышляющего продажей поддельных банковских карт.

Бюро завладело базой данных случайно - в 2013 г., когда разбиралось с хостинговой компанией Freedom Hosting, основатель которой, Эрик Оуэн Маркес (Eric Eoin Marques), был обвинен в распространении детской порнографии. По словам защитников Маркеса, ФБР вторглись в дата-центр, где размещались сервера Freedom Hosting, и установили ПО для перехвата данных. «Между 22 июля и 2 августа 2013 г. ФБР получило доступ к содержимому сервера, расположеного во Франции, отправив запрос об оказании правовой помощи французским властям, - содержится в свидетельских показаниях, подписанных под присягой почтовым инспектором Эриком Малеки (Eric Malecki). - Эта копия содержит данные Tor Mail, включая содержимое почтовых аккаунтов, пишет cnews.ru.

Поиск в (только в одном - прим. CNews) аккаунте выявил более 1100 писем с запросами». Бюро не раскрывало тот факт, что случайно завладело базой данных Tor Mail, которая на то время ее не интересовала. Выяснив в ходе расследования по новому делу, не связанному с Freedom Hosting, что заказы на поддельные карты отправляются на почтовый адрес platplus@tormail.net, ФБР получило ордер на обыск указанного почтового аккаунта.

Однако ФБР не пришлось искать местонахождение базы данных - так как физически она уже была в распоряжении бюро, хотя и без ордера на обыск. Когда он был выдан, бюро приобрело законное право открыть файл. «Судя по всему, ФБР копирует тактику АНБ - брать все, что плохо лежит, и уж затем с этим разбираться - когда будет получен соответствующий ордер», - критикует действия властей издание Wired. «Задача Tor Mail заключается в предоставлении полностью анонимной связи любому человеку, который в ней нуждается.

Мы не раскрываем данные о своих пользователях», - содержится на сайте сервиса. Tor Mail представляет собой независимый проект разработчиков ПО для сети Tor, предназначенной для анонимного выхода в Сеть. В сентябре стало известно, что ФБР использует шпионское ПО, которое позволяет разоблачать анонимных пользователей сети Tor.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: