Злам 4chan у 2025: як просте завантаження PDF знищило найвідомішу анонімну дошку зображень Інтернету

Aнатолій_Іванченко

Що таке 4chan?

4chan — це анонімний англомовний сайт іміджбордів, запущений 1 жовтня 2003 року 15-річним Крістофером Пулом, відомим в Інтернеті як «moot». Натхненний японським іміджбордом Futaba Channel (2chan), 4chan спочатку був створений як простір для західних ентузіастів аніме та манги. З часом він перетворився на великий і нефільтрований форум, що охоплює широкий спектр тем, включаючи відеоігри, політику, технології тощо.

Платформа структурована на різні дошки, кожна з яких присвячена певній тематиці. Користувачі зазвичай пишуть анонімно, що сприяє формуванню культури, в якій контент оцінюється за його суттю, а не за особистістю дописувача. Ця анонімність є одночасно і визначальною рисою, і джерелом суперечок, оскільки вона дозволяє вільно висловлюватись, але водночас сприяє поширенню образливого контенту. 4chan також зіграв важливу роль у створенні та поширенні численних інтернет-мемів і трендів.

Коротка історія 4chan

https://youtu.be/dQw4w9WgXcQ

Ранні роки

Крістофер Пул заснував 4chan у 2003 році, надихаючись японськими іміджбордами та онлайн-спільнотою Something Awful. Сайт починався з аніме та манги, але швидко розширився до безлічі дощок, що охоплюють різноманітні теми. Одна з найвідоміших дощок, /b/ (Random), стала відомою завдяки своїй політиці «все, що завгодно», що призвело до поєднання творчості та хаосу.​

Відомі інциденти

За ці роки 4chan опинився в центрі кількох гучних інцидентів.

• Rickrolling (2007): Користувачі 4chan започаткували мем «Rickroll», обманом змушуючи інших натискати на посилання, які вели на хіт Ріка Естлі 1987 року «Never Gonna Give You Up». Цей розіграш став широко розповсюдженим інтернет-феноменом.
• Містифікація смерті Стіва Джобса (2008): Неправдива чутка про те, що генеральний директор Apple Стів Джобс переніс серцевий напад, з'явилася на 4chan, що призвело до значного падіння ціни на акції Apple до того, як чутки були спростовані.
• Pitbull на Алясці (2012): У відповідь на акцію Walmart, яка мала на меті привезти репера Pitbull до магазину, що набрав найбільшу кількість голосів, користувачі 4chan організували кампанію, щоб відправити його в найвіддаленіше місце, Кодьяк, Аляска. Кампанія увінчалася успіхом, й Pitbull вшанував її результати, виступивши там.

Зміна власника

У січні 2015 року Пул пішов з посади адміністратора сайту, пославшись на стрес від управління платформою. Пізніше того ж року він продав 4chan Хіроюкі Нішімурі, засновнику 2channel, японської дошки оголошень, яка спочатку надихнула 4chan. Придбання Нішімури мало на меті залучити на сайт досвідченого керівника, враховуючи його досвід управління великими онлайн-спільнотами.​

Нещодавній хакінг 4chan: подробиці

14 квітня 2025 року сумнозвісну анонімну платформу 4chan було зламано через критичну вразливість, пов'язану із завантаженням PDF-файлів. Зловмисники використовували застаріле та незахищене програмне забезпечення для роботи з PDF-файлами, що дозволило їм здійснити віддалене виконання коду і, зрештою, підвищити привілеї для отримання повного адміністративного доступу до серверів 4chan. Це призвело до витоку значної кількості даних, включно з конфіденційною інформацією користувачів та адміністраторів.

1. Хто це зробив?

Повідомлення про можливий злом з'явилися, коли користувачі помітили незвичну активність на 4chan, в тому числі короткочасну появу раніше забороненої дошки. Незабаром після цього сайт було пошкоджено глузливим повідомленням: «ВАС ЗЛАМАЛИ XD». Подальші докази зламу з'явилися, коли конкурентний форум, Soyjak.party, почав публікувати знімки екрана, які нібито показували внутрішні адміністративні системи та бази даних 4chan.

Soyjak.party, спільнота, що утворилася із залишків закритого форуму /qa/ 4chan, пізніше підтвердила свою причетність. Група, яка мала давні претензії до команди модераторів 4chan, була мотивована бажанням викрити та присоромити адміністраторів сайту.

Скріншоти ймовірного злому вказували на значний доступ до конфіденційної внутрішньої інформації, включаючи імена користувачів адміністраторів, адреси електронної пошти, IP-адреси користувачів, видалені дописи та навіть внутрішню документацію. Ситуація ще більше загострилася, коли члени Soyjak.party поділилися особистими даними, або «доксами», ймовірних адміністраторів і модераторів 4chan.

2. Як стався злам

Деякі дошки 4chan — такі як /gd/, /po/, /qst/, /sci/ та /tg/ дозволяли користувачам завантажувати PDF-файли. Однак платформа не змогла перевірити, що завантажені файли є справжніми PDF-файлами. Цей недогляд дозволив зловмисникам завантажувати шкідливі PostScript-файли, замасковані під розширення .pdf.

Ці файли були оброблені Ghostscript, інструментом, який використовується для створення ескізів завантажених документів. На жаль, 4chan використовував версію Ghostscript від 2012 року, яка містила відомі уразливості. Використовуючи ці вразливості, зловмисник отримав можливість віддаленого виконання коду на сервері.

Згодом зловмисник використав неправильно сконфігурований бінарний файл SUID (Set User ID upon execution) для підвищення привілеїв, отримавши root-доступ до сервера. Цей рівень доступу дозволив зловмиснику викрасти конфіденційні дані, включаючи вихідний код 4chan, внутрішні журнали та адміністративну інформацію.

3. Наслідки

Серйозність зламу спонукала адміністраторів 4chan до негайного та всебічного реагування. Сайт було тимчасово виведено з ладу, щоб зменшити подальшу шкоду та ретельно дослідити вразливості. Під час цього простою адміністратори виправили виявлені вразливості, вилучили можливість завантаження PDF-файлів, оновили внутрішні системи та посилили протоколи безпеки, щоб запобігти подібним інцидентам у майбутньому.

4. Чи повернувся 4chan?

Станом на 27 квітня 2025 року 4chan повернувся в онлайн з обмеженою функціональністю та посиленими заходами безпеки. Завантаження PDF-файлів залишається відключеним назавжди, а певні вразливі або суперечливі форуми були видалені. Попри те, що технічне відновлення було успішним, злом серйозно вплинув на довіру користувачів і викликав постійне занепокоєння щодо безпеки платформи та її майбутньої стійкості. Адміністратори продовжують уважно стежити за сайтом, щоб забезпечити його стабільність і безпеку в майбутньому.

Висновок

Нещодавня атака на 4chan слугує суворим нагадуванням про те, як навіть давні інтернет-платформи можуть стати жертвами занедбаної інфраструктури та застарілих практик безпеки. Скориставшись вразливістю в системі завантаження PDF-файлів сайту, зловмисники отримали доступ до конфіденційних внутрішніх даних і викрили багатьох адміністраторів, які перебували за завісою анонімності платформи.

Хоча з того часу 4chan відновив базову функціональність і запровадив нові заходи безпеки, цей злам глибоко похитнув базу користувачів і висвітлив системні слабкі місця. Це також надає ще ширший урок: користувачі ніколи не повинні розміщувати особисту або конфіденційну інформацію на анонімних платформах, таких як 4chan або Reddit, де навіть невелика прогалина в безпеці може мати величезні наслідки.

Надалі перед 4chan стоїть складне завдання відновити довіру і довести, що він все ще може функціонувати як платформа для анонімного вільного вираження поглядів, не ставлячи під загрозу безпеку своїх користувачів і співробітників.

Рекомендовані продукти

Acer Swift 14 AI Intel Дізнатися більше	Acer Swift 14 AI AMD Дізнатися більше