4chan, board nota per i suoi contenuti estremi e per la cultura del trolling, è stato hackerata, facendo emergere una verità paradossale, che però non manca di una certa ironia. Quale? Il sito tracciava i browser dei suoi utenti in modo decisamente invasivo. Insomma, il regno dell'anonimato, in cui si poteva pubblicare liberamente video gore, immagini pornografiche non consensuali e anche proclami di future stragi, li monitorava, come svelato dai dati diffusi dall'hacker che l'ha bucato.
Cosa è successo?
Lunedì è apparso su 4chan un messaggio con scritto "U GOT HACKED". Il sito è stato tirato giù velocemente per limitare i danni, ma hanno comunque iniziato a circolare report che attribuivano l'impresa a una fazione rivale e che parlavano della diffusione dei dati dei moderatori.
Secondo gli esperti, come Graeme Stewart della compagnia Check Point, si è trattata di una vera e propria guerra tra bande, combattuta per lo status e l'influenza su certi settori della rete, in particolare quelli legati alla destra più reazionaria.
Il problema per i moderatori è che il loro ruolo è particolarmente odiato da un pubblico che vorrebbe essere lasciato alla sua sfrenatezza, quindi il fatto che siano stati esposti potrebbe causargli delle pesanti conseguenze nella vita privata.
Gli hacker proverrebbero da un sito nato proprio da 4chan, chiamato Soyjak Party, che ha trafugato dati e codice sorgente del sito. Le email di tutto lo staff del sito, inclusi moderatori, amministratori e "janitor" (i 'tuttofare' della moderazione), sono finite online, esponendoli a un pesantissimo doxxing (rendere pubbliche, senza consenso, informazioni che dovrebbero rimanere private). Attualmente 4chan è ancora offline perché, tra la diffusione del codice sorgente e lo sfruttamento di una grave vulnerabilità di sicurezza, è esposto a ulteriori attacchi.
Soyjak Party è ciò che resta di una board chiamata /qa/, che originariamente era un luogo per discutere argomenti più specifici di 4chan, ma alla fine si è involuta in una "fabbrica di Soyjak". Soyjak è una combinazione di "Soy Boy" e "Wojak". "Soy Boy": È un termine gergale peggiorativo usato su internet per deridere uomini percepiti come deboli, poco mascolini, eccessivamente emotivi o conformisti, spesso associati a determinate ideologie politiche, tipicamente di sinistra, interessi come cultura pop mainstream, certi videogiochi o abitudini di consumo. Wojak: È un semplice disegno in stile MS Paint di un uomo calvo con un'espressione triste o malinconica. È diventato un meme estremamente versatile usato per esprimere una vasta gamma di emozioni, situazioni o archetipi di persone. Provengono entrambi dalla cultura reazionaria di 4chan. Nel 2021 /qa/ ha fatto un raid sulla board /lgbt/, con i moderatori che hanno infine chiuso la board per il caos creato. Il risultato è stato il formarsi di un gruppo ancora peggiore e più attivo, staccatosi dalla board originale, con cui ha iniziato a una competizione al ribasso.
Finora, dall'hack sono trapelati i seguenti dati: le email dello staff, una board privata per le discussioni dello staff, uno sguardo agli strumenti di moderazione che conferma che i ban hanno due motivazioni (una visibile all'utente e una visibile solo allo staff), e il codice sorgente. Qui è arrivato il colpo di scena: il codice sorgente ha svelato che 4chan tenta aggressivamente di effettuare il fingerprinting dei browser degli utenti (raccogliere una serie di informazioni sulla configurazione specifica del browser e del sistema operativo per creare un "identificatore unico" o "impronta digitale"). Sembra invece che le informazioni degli utenti siano al sicuro, perché l'hacker le ha considerate di carso interesse e ha dichiarato che è stato mosso solo dalla voglia di divertirsi, per poi spiegare come ha fatto a bucare 4chan:
"Contrariamente a quanto si crede, non si è trattato di SQL injection.
L'exploit funziona così:
4chan permette l'upload di PDF su alcune board (/gd/, /po/, /qst/, /sci/, /tg/)
Hanno trascurato di verificare che il file caricato fosse effettivamente un file PDF. Di conseguenza, è possibile caricare file PostScript, contenenti script PostScript.
Tale file PostScript viene quindi passato a Ghostscript per generare un'immagine di anteprima (thumbnail).
La versione di Ghostscript utilizzata da 4chan risale al 2012, quindi è estremamente facile da sfruttare (exploitare).
Da lì, abbiamo sfruttato un eseguibile binario con SUID configurato erroneamente per ottenere privilegi elevati fino all'utente globale."
