Kiwi Farms connaît un deuxième semestre 2022 très mouvementé. Après avoir été abandonné par Cloudflare et DDoS Guard, le site a annoncé dimanche qu'il a été piraté samedi. À la suite du piratage, Kiwi Farms a adressé un message explicatif à ses utilisateurs sur son canal Telegram officiel : « Hier, Vsys, un hôte que nous utilisions comme proxy, a été compromis. Aujourd'hui, le site a été piraté pour changer les avatars de tout le monde en logos d'un autre site (que je ne nommerai pas parce que je ne suis pas sûr de la motivation derrière cela). Ensuite, chaque nœud de l'index du forum a été supprimé un par un ».
« Il y a des sauvegardes du site, donc aucune information n'est définitivement perdue, mais je n'ai pas encore diagnostiqué quel était le vecteur d'attaque ou l'étendue de la brèche », a-t-il ajouté. Plus tard, sur le site du forum, le créateur Joshua Moon a écrit : « le forum a été piraté. Vous devez supposer ce qui suit. Supposez que votre mot de passe pour Kiwi Farms a été volé, que votre email a été divulgué et que toutes les adresses IP que vous avez utilisées sur votre compte Kiwi Farms au cours du dernier mois ont été divulguées ». Il a déclaré que la ou les acteurs à l'origine du piratage ont eu accès à son compte d'administrateur.
Moon a expliqué dans ce nouveau message que les pirates ont eu recours à une technique connue sous le nom de détournement de session. Dans cette technique, un attaquant obtient les cookies d'authentification qu'un site Web définit après que le titulaire du compte a saisi des informations d'identification valide et satisfait aux exigences d'authentification à deux facteurs. Le piratage aurait été rendu possible après le téléchargement de contenu malveillant sur XenForo, un site que Kiwi Farms utilise pour alimenter ses forums d'utilisateurs. « Un acteur malveillant a pu télécharger une page Web déguisée en fichier audio sur XenForo », écrit Moon.
« Ailleurs, il a pu charger cette page Web (probablement en tant que cadre en ligne), amenant des utilisateurs aléatoires à faire des requêtes automatisées et à envoyer leurs cookies d'authentification hors site, afin que l'attaquant puisse l'utiliser pour accéder à leur compte. Mon compte administrateur a été compromis par ce mécanisme », explique-t-il. Le rapport de l'incident note que l'attaquant a ensuite utilisé l'accès au compte administrateur de Moon pour lancer une commande à XenForo dans le but d'envoyer l'adresse email, le nom d'utilisateur, la dernière activité et d'autres détails de chaque utilisateur.
Moon a déclaré que la commande avait échoué, mais qu'il ne pouvait pas exclure la possibilité que l'attaquant ait exécuté d'autres commandes ou scripts qui auraient pu réussir. « Je ne sais pas avec certitude si des informations sur les utilisateurs ont été divulguées. Dans mes journaux d'accès, ils ont tenté de télécharger tous les enregistrements des utilisateurs en une seule fois. Cela a provoqué une erreur et aucun résultat n'a été renvoyé. J'ai tout éteint peu après. S'ils ont récupéré des informations par un autre mécanisme, je ne peux pas l'affirmer avec certitude », a écrit Moon dans son message sur le site Web de Kiwi Farms.
Moon a ajouté qu'il allait restaurer le site à partir d'une sauvegarde, mais a expliqué que le processus (ainsi que la révision des procédures de sécurité de Kiwi Farms) prendrait un certain temps. Cependant, il a noté sur Telegram lundi qu'il devait s'absenter pendant une semaine pour faire face à une urgence familiale. « Je viens de recevoir l'appel. Je serai absent pendant une semaine. Le chat Telegram est maintenant soumis à la loi martiale des avatars animés. Ne vous embêtez pas à faire appel des interdictions. J'espérais rendre le site stable avant maintenant, mais l'homme planifie, Dieu rit. À bientôt », a-t-il sur Telegram.
Kiwi Farms a été lancé sous sa forme actuelle en 2013 et est vite devenu une plaque tournante des campagnes de harcèlement en ligne. Au moins trois suicides ont été liés au harcèlement émanant de la communauté Kiwi Farms. Les participants au forum admettent souvent ouvertement que leur objectif est de pousser leurs cibles à s'enlever la vie. Les personnes trans et non binaires, les membres de la communauté LGBTQ et les femmes sont des cibles fréquentes. Dimanche, il a tenté de se présenter comme la victime, sans aucune ironie, en expliquant le travail nécessaire à la remise en service du site.
Certains utilisateurs de Kiwi Farms se retournent contre Moon à la suite à cet incident. Plus tôt ce mois-ci, Kiwi Farms a été forcé de quitter le Web ouvert à la suite d'une tentative de démantèlement du forum. La streameuse et commentatrice politique Clara "Keffals" Sorrenti, cible privilégiée d'une campagne de harcèlement qui aurait eu pour origine le site Web, a lancé le mouvement visant à faire disparaître Kiwi Farms. Bien que Moon ait ensuite réussi à remettre le forum en ligne par d'autres moyens. Keffals a été victime d’un swatting et a accusé les membres du forum Kiwi Farms d'avoir rendu son adresse publique.
Le swatting est une pratique qui consiste à faire croire à la police que des événements graves se déroulent à l’adresse de la victime, de façon que les forces de l’ordre et plus particulièrement le SWAT (le GIGN américain) s’y rendent. Keffals s’est ainsi retrouvée sans raison tenue en joue à son domicile de London, dans l’Ontario, et « mégenrée » à de nombreuses reprises – le message anonyme ayant mis la police sur sa piste ayant volontairement utilisé son ancien état civil. Keffals a également déclaré qu'elle fait l’objet d’une campagne de haine depuis plusieurs mois et qu'elle craint à l’avenir une escalade dans la violence à son endroit.
Le piratage de Kiwi Farms est intervenu après que le réseau de diffusion de contenu Cloudflare a cessé de servir le forum la semaine dernière, après des semaines de critiques virulentes, selon lesquelles Cloudflare permettait des activités de harcèlement de masse et de doxxing visant des personnes trans et non binaires. Cloudflare assurait la protection contre les attaques par déni de service distribué qui ont visé Kiwi Farms pendant des années. Cloudflare était le dernier fournisseur de premier plan à continuer de desservir le site. Une fois les liens coupés, Kiwi Farms a dû se rabattre sur des services beaucoup moins performants.
La solution de repli de Kiwi Farms était la société russe DDoS Guard, mais cette dernière a également coupé les liens avec le forum au début du mois de septembre. Cela a coupé Kiwi Farms d'Internet et Moon a déclaré qu'il s'agissait d'une attaque organisée. « Pour être juste envers Joshua (l'administrateur), il semble savoir techniquement ce qu'il fait d'après ses commentaires dans le chat Telegram. Malheureusement pour lui, toutes les entreprises avec lesquelles il travaille et les utilisateurs ne le savent pas », a écrit le chercheur indépendant Kevin Beaumont sur Twitter dans un fil de discussion documentant la violation.
Source : Kiwi Farms (1, 2)
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du forum Kiwi Farms ?
Doit-on laisser un tel forum en ligne au nom de la liberté d'expression ? Pourquoi ?
Pensez-vous que les utilisateurs du forum seraient inquiétés par la justice si leurs données étaient divulguées ?
Voir aussi
Après Cloudflare, Kiwi Farms est abandonné par la société russe DDoS-Guard et est désormais inaccessible. Le propriétaire du forum de harcèlement en ligne y voit une « attaque organisée »
Cloudflare bloque Kiwi Farms en raison du « danger imminent » posé par les campagnes de harcèlement et les menaces provenant du forum, après avoir expliqué qu'elle n'avait pas l'intention de le faire
Kiwi Farms est mort : après Cloudflare et le russe DDoS Guard, le forum a été supprimé d'Internet Archives, effaçant les anciens fils de discussion de la Wayback Machine
Cloudflare tente d'expliquer pourquoi il protège les forums d'extrême droite qui traquent et harcèlent les victimes. Pour un chercheur, Cloudflare soutient explicitement ces sites et leurs discours