WhiteLeaks: как утекли 100 ГБ и вскрылись GPS координаты пользователей

На 39C3 хактивистка под псевдонимом Martha Root показала, как легко рассыпается миф про закрытость и анонимность, если под капотом у сайта детские ошибки. Под раздачу попала целая экосистема знакомств для белых европейцев, это WhiteDate, WhiteChild и WhiteDeal. Итогом стал слив на DDoSecrets под именем WhiteLeaks, объёмом около 100 ГБ. По словам доклада, в этой истории деанонимизировались около 8000 пользователей, которые были уверены, что их никто и никогда не привяжет к реальной жизни. В дампе, среди прочего, оказались GPS координаты.

Самое неприятное тут в том, что это не история про 0 day, не про хитрую криптографию и не про гениев из тени. Это история про две базовые уязвимости и современную социальную инженерию, где ИИ стал обычным инструментом для входа в закрытое сообщество.

Первый элемент это AI инфильтрация. По описанию, атакующий использовал локально запущенные LLM через Ollama, чтобы массово собирать правдоподобные фейковые профили. Нейросеть генерировала биографии, поддерживала диалоги и помогала пройти фильтр свой чужой. В итоге фейковые аккаунты получали статус верифицированных пользователей и начинали видеть то, что обычному гостю недоступно.

Второй элемент, и самый критичный, это IDOR, Insecure Direct Object Reference. Доступ к данным, судя по разбору, добывался банальной манипуляцией URL путями. Сервер не проверял права доступа при прямых запросах к объектам, поэтому базу можно было вытащить целиком, просто перебирая идентификаторы или используя команды массовой выгрузки. Никакой магии, просто отсутствие контроля доступа там, где он обязан быть.

Третий удар пришёлся по тем, кто выкладывал фотографии и думал, что это безопасно. Платформа не вычищала EXIF метаданные. То есть люди загружали снимок, а вместе со снимком отдавали служебную начинку, включая GPS координаты, если телефон их записал. Когда такие координаты ложатся рядом с реальными фото и идеологическими анкетами, OSINT превращается в прогулку. Риски для пользователей тут не теоретические. От деанона до репутационного краха, от проблем на работе до токсичных последствий в реальной жизни.

Для админов подобных ресурсов это тоже холодный душ. Инцидент показывает, что закрытые сообщества теперь уязвимы не только перед руками, но и перед автоматизированной инфильтрацией ботами на базе LLM. Капчи и ручная модерация все чаще проигрывают, если атакующий настроил поток профилей и диалогов так, что он выглядит естественно.

Техническая сложность: Низкая (Script Kiddie level). Влияние: Критическое (полная компрометация базы и пользователей).

Это хрестоматийный пример “security through obscurity” (безопасность через неясность). Администраторы полагались на то, что их “никто не найдет”, игнорируя базовую гигиену разработки (IDOR) и защиты данных (EXIF). Использование ИИ для маскировки под “своего” - это новый вектор атак, к которому большинство закрытых комьюнити технически не готовы.