Казуса “Zamunda”

“Крадеца вика – Дръжте крадеца!” или всъщност това е било негово право? Нека разгледаме по-обстойно какво точно се случи през изминалите дни. А защо да не погледнем проблема и през друга призма… За да не губя времето ви ще кажа, че обобщението е в края на статията.

Zamunda LogoКакто много от вас може би са забелязали, последните седмици зареждането на Zamunda.NET доста често беше възпрепятствано. На какво ли се дължи това?

На 16-ти Април в Zamunda.NET всички потребители получиха по едно, а някои и по три съобщения:

  • 18:23
    Поради технически проблем в дейта центъра, където се намират сървърите на Zamunda.net, са възможни прекъсвания с тракера. Ако е необходимо рестартирайте торент задачите си.
  • 22:34
    Приятели, група хакери са свалили бекъп на сайта и е възможно да вдигнат няколко сайта с подобен дизайн и информация от предишните дни. Не се притеснявайте за паролите, те са криптирани и няма кой да ги види в чист вид. Поради тази причина е затруднено влизането в сайта близките 2 дни. Работим по отстраняване на проблемите и се извиняваме за причиненото неудобство. Екипът на Zamunda.NET!
  • 22:40
    Екипа на Zamunda.NET НЕ ВИ препоръчва да вписвате акаунти и паролите си в подобни или копиращи Zamunda.NET страници.
    Zamunda.NET е само една, но ние не можем да гарантираме сигурността на акаунтите ви в случай, че се подведете и се логнете в хакерско копие на страницата ни.

Това даде началото на голяма истерия в интернет пространството и повод за много спекулации. Естествено, доста хора започнаха ‘собствено разследване’ по случая. В крайна сметка още на 17-ти Април в 2:00AM водите се избистриха и повечето статии в интернет се препокриха. Сега остава по-трудния въпрос – на чия страна ще застанат потребителите и от коя страна ще бъдат по-защитени?


Главни герои:

  • mamata – администратор/собственик Zamunda.Net
  • break (Христо) – един от основните програмисти стоящи зад Zamunda.NET
  • Екипа на Subs.Sab.Bz
  • Екипа на SubsUnacs.Net
  • Мартин Павлов – “бивш” собственик на Zamunda.NET

Основните пътеки бяха три – хакерска атака към Zamunda.NET, кражба на домейна и правене на фишинг сайт с цел кражба на пароли. Последната версия моментално отпадна от съревнованието, втората се потвърди, а първата е въпрос на гледни точки.

Нека започнем от тук: 11-ти Април – датата на последното променяне на DNS сървърите на Zamunda.NET.
Промяна на DNS записитеПоследната промяна на DNS-ите говори за кражба или смяна собствеността на домейна. Това посочва и първата дата, на която са започнали промените около Zamunda.NET. Ако копията бяха фалшиви, домейните им щяха да са регистрирани преди тази дата, а не след нея.

Факти за другите домейни…
Домейна Arenabg.CH, собственост на Елиан Гешев, който пък е собственик на ArenaBG.COM излиза директно със становище:

  • ArenaBG в момента се намира на: http://arenabg.com
  • Оригиналната Zamunda в момента се намира на: http://zamunda.se

На 14-ти Април, според DomainTools се регистрира домейна Zelka.ORG. Най-вероятно “атаката” вече е била в процес. Ако домейна Zelka.ORG и Zamunda.SE са били на въпросния хакер, то те щяха да бъдат регистрирани преди смяната на DNS записите на Zamunda.NET (които са променени три дни по-рано). Самото име на домейна, вероятно е било избрано по-шеговито, докато се прехвърлят тестови данни от Zamunda. Ping на Zamunda.SE e на същото IP като на Zelka.ORG.

На 16-ти Април според DomainTools се регистрира домейна Zamunda.SE. Регистрацията на домейна е направена от “бившия” собственик на Zamunda.NET – Мартин Павлов. Това научихме от WhoIs инструмента на GoDaddy, тъй като самия домейн е бил регистриран чрез тях. Ако приемем, че съобщенията от Zamunda.NET са истински и хакера наистина е регистрирал тези домейни, за да прави “копие” на сайта, то това звучи много нелогично. Очевидно тези копия са на “бившия” собственик на Zamunda.NET. В WhoIs спокойно се вижда, че e-mail адреса на собственика е с окончание linkos.bg, което потвърждава съмненията, че някой е дезертирал от фирмата.
Ако домейнът Zamunda.NET се водеше на името на ООД-то никой нямаше да може да го открадне.
Друго интересно наблюдение, е че на 15-ти Април от Garga.BIZ е изчезнала възможността за пускане на реклами в Zamunda.NET. Все още обаче няма опция и за рекламиране в Zamunda.SE. Ако се чудите каква е връзката – тя е пред очите ви – рекламната мрежа Garga.BIZ е на Линкос ООД (които всъщност са собственици и на Zamunda.NET). Съобщението, което са получили потребителите е следното:

Вашата реклама “*********” в сайт “zamunda.net” е замразена от администратора поради съмнения в работата на издателя. Всички вложени кликове в рекламата са временно замразени до изясняване на ситуацията. В случай, че екипът на ГАРГА открие измама, замразените кликове ще бъдат възстановени обратно във Вашият профил.

Ако в Garga.BIZ се появи опция за реклама в Zamunda.SE, то значи теорията за откраднатия домейн излиза най-вярна и старите собственици държат Zamunda.SE, а Zamunda.NET е под влияние на въпросния хакер.

Интересен е и въпроса как точно е бил откраднат домейна и няма ли начин да се възстанови?
1. Виновникът всъщност е бил човек, към когото е имало пълно доверие. Поради тази причина той е имал достъп до мейла, на който е бил регистриран домейна и куп други ценни ресурси и информация.

2. Вижда се, че домейна е регистриран с INTERNET.BS CORP. По принцип, при закупуване на онлайн услуга се пращат Welcome mail и касова бележка (receipt/form или както там го водят). Ако имате копие от тях, би трябвало да можете да оспорите собствеността над .NET домейна. Плюс това си позволих да говоря с Live-Support-a на тази компания и те потвърдиха тази възможност – чата можете да видите тук.


Появиха се няколко съобщения в интернет, които бързо станаха viral.

  1. Съобщение от mamata;
  2. Съобщение от VIP потребители;
  3. Съобщение от Ъплоадери;
  4. Съобщение от екипа на Subs.Sab.Bz;

Искам да благодаря на Цветан Топалов за направеното проучване.
На 14-ти Април акаунтите на всички стари потребители, ъплоудъри и администратори са били блокирани. Ето и данните от проследяването на акаунтите на част от ъплоудърите и екипа в текущата версия на Zamunda.NET:

  • hitzata (Uploader регистриран 2008г.) – Zamunda.NET – блокиран; Zamunda.SE – активен;
  • Kallan (VIP регистриран 2010г.) – Zamunda.NET – изтрит; Zamunda.SE – активен;
  • aheeca (VIP регистриран 2008г.) – Zamunda.NET – блокиран; Zamunda.SE – активен;
  • Leatherface (VIP регистриран 2010г.) – Zamunda.NET – изтрит; Zamunda.SE – активен;
  • Rainfall (VIP регистриран 2008г.) – Zamunda.NET – блокиран; Zamunda.SE – активен;
  • Enis (VIP регистриран 2008г.) – Zamunda.NET – блокиран; Zamunda.SE – активен;
  • hall (Administrator регистриран 2006г.) – Zamunda.NET – изтрит; Zamunda.SE – активен;

На 17-ти призори е изпратено поредното съобщение до потребителите на Zamunda.NET:

Проблемите с връзването към тракера са отстранени. Възможни са прекъсвания поради атаки от страна на хакерите, но за момента се справяме с тях. В следващите дни ще предприемем действия по оптимизиране на сайта и по-бързото зареждане на страниците.

Няколко часа по-късно, около 19:30 е изпратено и друго съобщение до потребителите на Zamunda.NET от новия собственик:

Здравейте приятели!
Можете да прочетете повече за случващото се на началната ни страница.
Не разполагаме с достатъчно време да отговорим на всяко съобщение изпратено до нас.
Всичко в сайта работи по старо му, с изключение на смененият ЕКИП, което доведе до затруднено обработване на СПАМА и запитванията в сайта. Извиняваме се за това! Работим по възстановяване на екипа и съвсем скоро ще отблъснем тази вълна на провокации. Благодарим за подкрепата! Zamunda.NET

Какво се появи на този адрес: http://pastebin.com/AnddJ0AY :

Скъпи приятели,
През изминалите дни се случиха много неща. Мнозина от Вас си задават различни въпроси и търсят отговорите им в мрежата. Тук ще разберете истината!
Този сайт беше жертва на ръководството си. Алчността и политическите амбиции на някои хора бяха на път да се възползват от широката аудитория на Zamunda.NET и да превърнат Вас потребителите в заложници на амбициозен политически проект.

След вътрешен преврат, тези нечестиви хора бяха отстранени от ръководството на сайта и правомощията им върху цялата система вече не им принадлежат.
Ние не можем да допуснем свободата на п2п обществото да бъде застрашенa и употребена за популистки политически цели.
Новото ръководство се ангажира да се бори с всички налични ресурси за запазване на независимостта на този сайт, неговото статукво и потребители.

Длъжни сме да ви предупредим, че бившата администрация на Zamunda ще се опита по всякакъв начин да попречи на работата ни и да си възстанови „загубеното“.
Тези хора разполагат с достатъчно пари и контакти за да не се откажат в опитите си да придобият отново контрол върху независимия ресурс на сайта и да продължат да го ползват за личните си цели. Te за нас са “група хакери”, които ни заливат с ддос атаки, спам и пробват всевъзможни техники в опитите си да пробият обратно.
Нашата мисия е да не го позволим. Ваше пък е решението кого ще подкрепите.

С уважение: Team Zamunda.NET


Какво каза още Мартин Павлов:

“Атаката бе вътрешна и подготвяна от човек, към който не е имало и капка съмнение в неговата лоялност. След кражбата на домейна той изтри всички бекъпи на сайта, но екипът вече разполагаше с такъв. Екипът вече нямаше как да се върне в стария сайт и да поправи нещата, затова се прибегна до друга мярка, а именно пускането на нов сайт с пълния бекъп от вече стария домейн Zamunda.NET.
На практика става дума за кражба на собственост, на бизнес, но не можем да предприемем никакви стъпки срещу него, защото цялата игра е изпълнена перфектно. Христо е имал достъп до мейла, през който е регистриран домейнът и плащането на домейна е направено през него.
По принцип може да се изиска връщането на домейна, но крадецът е реализирал плащане по нормалния път и това прави невъзможно предприемането на действия срещу него, няма как да се докаже каквото и да било при тази ситуация. В момента аз подкрепям Zamunda.SЕ. На стария сайт е пуснато специално съобщение, че могат да се появят други сайтове, нещо като “Крадецът вика, дръжте крадеца”. Но екипът ме помоли да създадем и регистрираме новия сайт, направихме го.”

Zamunda Logo

Какво казаха още стария екипа на Zamunda.NET:

Не са слухове и не е майтап – Zamunda ни беше открадната. Съзирамe иронията в това и след време ще се усмихвамe на сполучливите вицове по темата, но сега не ни е смешно. Дълго време изграждахме защита срещу външни атаки, но пропуснахме да се вгледаме в себе си – грешка която без малко не ни уби и от която дълго ще се възстановяваме. На 11.04 администратор break имайки достъп до email – а с който се управлява домейна Zamunda.net го прехвърля на друг собственик. Администраторът разполага също с достъп от най-високо ниво до сървърите на Zamunda и копира цялата ни база данни на свои машини. Копирането е поетапно и завършва на 13.04 срещу 14.04 с пълното изтриване на старите сървъри и унищожаване на бекъпите. С това превземането на сайта почти привършва. Остава да прекрати достъпа на модераторите до ресурсите и да изтрие Топ – администраторите. Край! В сайта видимо нищо не се променя, сътресенията се отдават на поредната нестабилност и единственото, което в началото прави впечатление са безброй постове във важните теми, които греят с “Автор – непознат”, тъй като са правени от изтритите администратори. До този момент никой официално не знае за подмяната. Екипът на Zamunda осъзнава това в ранните часове на 14.04, но вече е късно да се направи каквото и да е. Въпреки, че на пръв поглед в присвоения сайт всичко е нормално, въпроси все пак възникват, особено след включването на разни “екстри” за които е известно, че Екипът е категорично против. Тези нелогични промени предизвикват въпроси и най-накрая узурпаторът пуска тема и свое становище във форума на Ъплоудерите в откраднатия сайт:
break:
“Здравейте приятели, Искам да ви попитам, как може да откраднеш или хакнеш нещо, което си създал? Вярвам много от васне са доволни от управлението на сайта в последно време. Да не говорим за началническото поведение, без да сте длъжни на никого. Не ми харесва как група хора се възползват от вас. Не ми харесва как се пропиляват възможностите на сайта. Колкото и да ви убеждават, че няма начин тази машина да заработи в пълните и възможности, азз мога да ви кажа, че това е лъжа. Има начини и то стотици начини да заработим безпрепятствено. Най-малко трябва да се съмнявате, че това което се случва е с цел да се срине сайта. Напротив, съвсем друга е идеята, и е напълно изпълнима. Възможни са прекъсвания и проблеми със зареждането, това го е имало преди, но скоро ще е история. Постоянно качване/триене, предполагам е повече от досадно, е по-горе обясних колко всъщност начини има да се реши и този проблем! Оставям нещата във ваши и наши ръце, пък вие изберете.”

Така, признавайки стореното, опитва да търси подкрепа, което изиграва лоша шега. Подкрепа няма! Ъплоудери, ВИП и потребители започват да разменят съобщения и масово да се оттеглят от присвоения сайт. Преводаческите сайтове, категорично отказват техните субтитри да стоят в откраднатата Zamunda. Тези неща са началото на края и стават причина да се наложат буквално шизофренични ограничения, сред които забрана за изпращане на съобщения. Започва безпрецедентен “спам” чрез персонални системни съобщения до всички потребители, виждайки пълното си безсилие да скрие истината. А истината е, че Zamunda се възстанови от пепелта на домейн Zamunda.SE и веселяшкото Zelka.org.

Тук се появява и за първи път “виновника” за случващото се – break (Христо). След всички съобщения за хакерски атаки, той най-накрая внесе и неговата гледна точка, като се отдаде на политически и популистки причини:

Скъпи приятели,
През изминалите дни се случиха много неща. Мнозина от Вас си задават различни въпроси и търсят отговорите им в мрежата. Тук ще разберете истината!
Този сайт беше жертва на ръководството си. Алчността и политическите амбиции на някои хора бяха на път да се възползват от широката аудитория на Zamunda.NET и да превърнат Вас потребителите в заложници на амбициозен политически проект.

След вътрешен преврат, тези нечестиви хора бяха отстранени от ръководството на сайта и правомощията им върху цялата система вече не им принадлежат.
Ние не можем да допуснем свободата на п2п обществото да бъде застрашенa и употребена за популистки политически цели.
Новото ръководство се ангажира да се бори с всички налични ресурси за запазване на независимостта на този сайт, неговото статукво и потребители.

Длъжни сме да ви предупредим, че бившата администрация на Zamunda ще се опита по всякакъв начин да попречи на работата ни и да си възстанови „загубеното“.
Тези хора разполагат с достатъчно пари и контакти за да не се откажат в опитите си да придобият отново контрол върху независимия ресурс на сайта и да продължат да го ползват за личните си цели. Te за нас са “група хакери”, които ни заливат с ддос атаки, спам и пробват всевъзможни техники в опитите си да пробият обратно.
Нашата мисия е да не го позволим. Ваше пък е решението кого ще подкрепите.


След прочетеното до тук много хора побързаха да набедят break като виновник. Затова трябва да предоставя и един чат, който не е известен на много от вас:

break написа:
Здравейте приятели,
Искам да ви попитам, как може да откраднеш или хакнеш нещо, което си създал?
Вярвам много от вас не са доволни от управлението на сайта в последно време. Да не говорим за началническото поведение, без да сте длъжни на никого. Не ми харесва как група хора се възползват от вас. Не ми харесва как се пропиляват възможностите на сайта.
Колкото и да ви убеждават, че няма начин тази машина да заработи в пълните и възможности, аз мога да ви кажа, че това е лъжа. Има начини и то стотици начини да заработим безпрепятствено. Най-малко трябва да се съмнявате, че това което се случва е с цел да се срине сайта. Напротив, съвсем друга е идеята, и е напълно изпълнима.

Възможни са прекъсвания и проблеми със зареждането, това го е имало и преди, но скоро ще е история. Постоянно качване/триене, предполагам е повече от досадно, е по-горе обясних колко всъщност начини има да се реши и този проблем!

Оставям нещата във ваши и наши ръце, пък вие изберете.

dad (hall) написа:
Преврат приятелю. А аз му викам пладнешки обир на това.

break написа:
Сори но нямаше как.. иначе повече мизерии щяха да се случат със сайта.

dad (hall) написа:
Ице, доста съм по-възрастен от теб. Видял съм много в този живот. И като твоята постъка съм виждал. Само дето не я очаквах от теб. Беше още без косми по брадата, когато те взеха да бачкаш в Линкос. Хляб ти дадоха. Подслон. Среда. Знаеш, че аз не взимам пари за дейността си тук.Не ми зависи живота от Замунда. Тоест, аз нямам необходимост да работя за теб. Нито който и да било от Екип.
Този Екип съм го създал с двете си ръце. Обучавал съм, всеки един от тях. Ти какво си им дал? Спомени за това, какви теми пускаше посред нощ в Лафче ли?

break написа:
Обяснявам на кратко.. Докато всички ние вършехме всичко други си купуваха коли и апартаменти.

Саше, дал съм ви всичко което виждах изобразено в този сайт, като иконки, текстове, функции, форми, панели и т.н. Идеята за цялото това нещо също е моя! Когато някой ти даде работа, но след година, две започне да те използва, длъжен ли трябва да се чустваш? Спирам до тук.

Това което не исках е да участвам в предизборна агитация и цялото това нещо да започне да служи на политическа формация или депутати. Вие щом искате, направете каквото знаете и успех.

dad (hall) написа:
Аз когато не искам нещо, не участвам.Някой да те е карал да правиш нещо?
Доверието Ице. Доверието. Как ще накараш хората да работят за теб, след като не могат да ти имат доверие? Ъповете ни имаха доверие. Ти погази доверието, което ти гласувахме. Как те ще бъдат сигурни в теб, ако ГДБОП ти поиска IP-тата им? Абсурд. Ти захапа ръката, която те хранеше, а камо ли да защитиш Ъплоудерите си от Закона.

voices написа:
Христо, надявам се знаеш какво правиш. Това, което искам да кажа е – каквото и да правите, правете го в полза на сайта, защото Замунда е по-голяма от отделните личности в нея. Надявам се резултата накрая да е положителен за сайта и за нас потребителите, без значение как ще се развият нещата. В този сайт съм от 2006-та и знам доста от историята му. Но според мен темата трябваше да влезне във ВИП-ския форум, но както и да е.

FEl написа:
Ако може малко яснота за всичките тези недоизказани неща.

Явно break е направил доста неща по сайта. И има някакво авторство по смисъла на закона. Не им знам уговорките (договорите) но ако нещо е създадено в резултат на трудово правоотношение поне според закона е собственост на работодателя.

За политическата пасмина – драяйфа ми се от тия, окупирали всички телевизии. То още от римско време Веспасиан е казал, че парите не миришат, но не на всяка цена могат да се случват нещата. Не разбрах сайта трябва да е хранилка на управляващите, да им прави безпалтна реклама или нещо друго?

voices написа:
break създаде сайта и работеше по него известно време. И ти говоря, че създаде сайта, когато беше на 18 или 19 нещо подобно. Заслугата да има Zamunda е негова.


Вече нещата не изглеждат толкова розови, колкото бяха в началото.

Трябва ли да се притесняваме за сигурността на данните от акаунтите ни, и естествено за сигурността на IP адресите ни? На кого да вярваме – break ли е в правото си, или екипа uploaders и собствениците?

Вечерта на 16-ти срещу 17-ти се появи доста информация. Break се е продал за пари, операцията е била планирана от месеци, вече е избягал в Сърбия; това е исценировка с цел да се развиват два отделни торента, с цел повече печалба; вътрешно-фирмен преврат; просто нагла кражба; PR акция с цел вдигане на рейтинга на Zamunda; истински хакерски атаки и т.н.

Ето няколко факта, които не подлежат на спор:

  • Данните за достъп (име и парола) са същите в Zamunda.NET и в Zamunda.SE;
  • Регистрациите в Zamunda.NET са отворени за нови потребители;
  • Регистрациите в Zamunda.SE са затворени за нови потребители;
  • Кандидатстването за Uploader е възможно в Zamunda.NET;
  • Стария екип на Zamunda.NET вече работи зад Zamunda.SE;
  • Броя на активните торенти е по-голям в Zamunda.NET в момента;
  • Броя на новите торенти е по-голям в Zamunda.SE в момента;
  • Данните са криптирани и защитени. Можете да ползвате акаунтите си и на двете места. Въпрос на гледни точки е кой вариант ще изберете! Също така е въпрос на време и да се разбере кой е по-сигурния торент в момента. Този, който ще защити вашите публични Facebook профили, този който ще защити вашите IP-та, този който няма да ви иска ненужна информация в профилите и няма да пази Log-ове;

На чия страна сте вие и кой от двата тракера ще предпочетете?

Leave a Comment

Your email address will not be published.