Одним зі способів заробітку для хакера є добування баз даних. На жаль, в останні роки багато хакерські теми відмирають, зокрема знайти кредитні картки в шопах стає все важче. Тому перед кожним зломщиком постає проблема — або шукати інші об’єкти для злому, або відмовляти собі в пиві.

Одними з таких об’єктів є бази сайтів знайомств, на які існує постійний попит у вітчизняних скамерів. Попрацювавши деякий час в цій тематиці я придбав кою який досвід, який готовий розділити з тобою.

Почнемо з початку, з вибору об’єкта. Маса форумів рясніє пропозиціями для хакера по злому датингов, і як правило народ хоче бази таких ресурсів як match.com або americansingles.com. Можеш звичайно спробувати їх зламати, але по-перше вони добре захищені, по-друге, навіть якщо тобі вдасться отримати доступ до бази і її злити, ти отримаєш масу претензій від незадоволеного клієнта її купив. Одного разу нам з напарником вдалося витягнути базу на лимон з гаком юзерів одного серйозного європейського датинга. В результаті ми отримали масу претензій від покупця. Суть претензій полягала в тому, що відписка була низькою, частина відписатися стверджували, що на даному ресурсі вони не зареєстровані, хоча ми надали покупцеві не тільки мила, але і логіни з паролями, так що перевірити приналежність користувача до даного датингу не було проблемою. У підсумку нам вдалося розібратися, з чим це пов’язано. Ресурсу було вже більше 8 років і ті, хто регался там років 6-7 назад, або вже давно одружилися, або забули про свою реєстрацію. І крім того, там виявилося величезна кількість акаунтів африканців з колишніх колоній цієї європейської країни, але це вже претензії не до нас, а до колоніальної політики наддержав в XIX-XX століттях.

Тому переважно ламати або датинги яким від сили 2-3 роки, або (якщо сайт створений давно) зливати тільки дані юзерів зареєстрованих рік чи два тому.

Хорошим попитом користуються західно-європейські бази, США теж не погано йде, як і Арабські Емірати, Японія і Австралія. Інше сміття. І ще, періодично на форумах зустрічаються пропозиції зламати гей-датинги. Сенсу особливого в цьому немає, я одного разу повівся на подібні пропозиції і не тільки травмував собі психіку надивившись на голозадых «трудівників тилу», але і вже більше двох місяців не можу збути бази порядку 700К юзерів з гей-датингов навіть за депинговой ціною.

Коли визначилися з об’єктом, починається сам процес злому. Тут тобі допоможуть знання SQL-ін’єкцій в MySQL, MSSQL, PostgreSQL. Мій досвід показує, що 95% зламаних датингов містили уразливості класу SQL-ін’єкції. Так що студіюй мануали і вперед, благо в інформації SQL-ін’єкцій недоліку немає.

І ось доступ до бази отримано, залишилося сдампить базу і шукати покупця. Але тут теж є свої нюанси. Якщо немає можливості залити на сайт скрипт для конекту до бази або якщо адмінка не дозволяє сдампить базу, доведеться тягнути її за допомогою SQL-дамперів. У цьому випадку дамп треба наступні поля — gender або sex (пол), дане поле краще виводити першим, тоді потім буде легше відсортувати дамп і видалити з нього непотрібних скамерам жінок, логін і пароль це для того, щоб клієнт купив базу міг перевірити, що вона саме з цього датинга, email це зрозуміло, заради нього, власне, все і затівається, країна проживання дуже важливий чинник у випадку злому інтернаціональних датингов, і вік. Останній параметр в принципі не обов’язковий, і клієнти вимагають його вкрай рідко. Решта не потрібно. Тобто дані повинні бути приблизно в такому вигляді:

Male: diver_rat: liverpool: [email protected]: UK: 42 :
Male: moussa: soumou: [email protected]: USA: 48 :
Female: jessy1234: 12345: [email protected]: USA: 28 :
Male: [email protected]: janneh: [email protected]: USA: 31 :

До речі, для сортування та видалення дублів в базі можеш використовувати перл-скрипт такого змісту:

#!/usr/bin/perl
print “===================================n”;
print “= John The Ripper wordlist sort =n”;
print “===================================n”;
print “= coded by durito 30.03.2005 =n”;
print “= LwB Security Team =n”;
print “= * vlb4g * durito * M0rf * =n”;
print “= * XSPYD3X * Gotius * mosg * =n”;
print “= lwb57.org =n”;
print “===================================n”;
print “= 1.txt + 2.txt > 3.txt =n”;
print “===================================n”;
open(F, ‘1.txt’);
while (defined($a=))
{
chomp($a);
$k{$a}=1;
}
close F;

open(F, ‘2.txt’);
while (defined($a=))
{
chomp($a);
$k{$a}=2;
}
close F;

open(F, ‘>3.txt’);
foreach (sort keys(%k))
{
print F $_,«n»;
}
close F;

Я колись давно написав його для об’єднання і сортування словників John The Ripper, але і з нашою завданням він справиться.

Переименовываешь базу в 1.txt, запускаєш скрипт, не забувши попередньо встановити ActivePerl, і на виході отримуєш відсортований за алфавітом 3.txt.

Ще раз повторюю — якщо база велика, то дамп її починай з кінця, припустимо з останніх 100К записів, злив їх — потім тих, хто перед ними, і так далі, по-перше це найбільш свіжі юзери, по-друге якщо ресурс серйозний, то твої дії можуть швидко виявити і дірку залатати перш, ніж ти выкачаешь всю базу.

Ну ось, база знята, починається не менш важкий процес продажу бази. У середньому ціна на датінг бази коливається від 3$ до 10$ за 1К юзерів. Все залежить від рівня датинга, обсягу бази (чим вона більша, тим більша знижка клієнта), країни і т. д.

Тут початківця продавця чекає пара неприємних моментів, першим з яких є вимога клієнтів дати на пробу 1К-2К бази. Після цього відсотків 95 клієнтів зникають назавжди. А твоя база внаслідок цього втрачає, як казав мій вчитель з праці в школі, «целкость». Тому моя порада, якщо клієнт хоче взяти на пробу 1К-2К, то нехай за них заплатить. Це з одного боку покаже серйозність як потенційного покупця, з іншого вбереже тебе від кидків.

Другий неприємний момент: ти продав кілька хороших баз і тут до тебе починають стукати челы з пропозицією продати їх ще раз. Запам’ятай, твоя репутація коштує дорожче декількох пригорщею доларів, тому продавай базу завжди в ОДНІ РУКИ. Це буде працювати на твій імідж, який (на відміну від реклами спрайту) в нашій справі ВСЕ. Тому не треба скупитися і продавати одну і ту ж базу кільком клієнтам. Тим більше, що через якийсь час клієнт, який взяв у тебе хорошу базу, звернутися до тебе за новою.