Freedom Hosting II est considéré comme l'un des plus importants hébergeurs de sites en .onion cachés sur le réseau Tor. Fin 2016, il a été estimé que Freedom Hosting II (FHII) représentait 15 à 20 % du nombre total de sites du Dark Web.

Tor-onion Ayant repris le flambeau de Freedom Hosting premier du nom après la compromission de celui-ci suite à des actions menées par le FBI et des enquêtes en rapport avec des sites pédopornographiques, FHII vient d'être la victime d'un piratage.

La compromission remonterait à fin janvier avec d'abord un accès en lecture seule ayant permis de consulter la liste de sites hébergés par FHII. C'est après avoir découvert que plusieurs sites pédopornographiques utilisaient massivement FHII que les hackers ont décidé de défacer des sites et de dérober des données.

Avec un message signé à la Anonymous, les hackers ont demandé le paiement de 0,1 bitcoin pour la récupération de 75 Go de fichiers et des bases de donnes de 2,6 Go. Une somme dérisoire pour un tel piratage. Finalement, la base de données de FHII a été publiée via un site sur le réseau Tor. Cela était probablement le but recherché.

Le chercheur en sécurité Chris Monteiro, qui a commencé à analyser la base de données fuitée, a découvert des forums pédopornographiques en anglais et en russe, des sites de fraude, des sites de fétichisme, des comptes de sites piratés, des botnets ainsi qu'un lot " d'étranges sites Tor. "

Spécialisée dans le Dark Web, la chercheuse Sarah Jamie Lewis a compilé une liste de 10 613 sites affectés et a précisé à The Verge " beaucoup de diversité ". Elle ajoute sur Twitter ne jamais avoir été une grande fan des fournisseurs d'hébergement sur le Dark Web, avec les difficultés de sécurisation que cela implique.

Have I been pwned? écrit que ce piratage a conduit à la publication de bases de données MySQL pour les sites affectés. Parmi les données compromises, des adresses email, noms d'utilisateur et mots de passe. Le service répertorie 380 830 comptes compromis. Pas de recherche publique. Seul un utilisateur dont l'adresse email a été vérifiée peut effectuer une recherche.

De quoi compliquer des enquêtes

Pas sûr que les autorités apprécieront ce piratage qui pourrait compliquer des enquêtes en cours ou à venir. Pour ce piratage, Motherboard explique que les hackers auraient créé un nouveau site Freedom Hosting II ou se sont connectés à un site existant.

Ils auraient " modifié des paramètres dans un fichier de configuration, déclenché manuellement une réinitialisation de mot de passe pour une cible, activé l'accès root, puis ils se seraient reconnectés avec les nouveaux privilèges système. "

Ci-dessous, le mode opératoire tel que revendiqué par les hackers :

Lorsque le FBI avait saisi Freedom Hosting première mouture, l'agence avait dû déployer un malware afin d'obtenir les adresses IP de visiteurs. Sans cela, il n'aurait pas été possible d'opérer une telle identification, même avec le contrôle du service Tor caché.