Новости

Все новости

Пресс-релиз Группы компаний "ИнфоКуб" о проведенном расследовании кибератак с иностранных серверов

Пресс-служба ГК «ИнфоКуб» доводит до сведения общественности материалы разбирательства, проведённого специалистами компании, относительно выдвинутых американским журналистом Брайаном Кребсом (https://krebsonsecurity.com/2016/07/carbanak-gang-tied-to-russian-security-firm/) в адрес ГК «ИнфоКуб» и её руководителя публичных обвинений об их якобы причастности к распространению вредоносного программного обеспечения Carbanak/Anunak, использовавшегося в целях хищения банковской информации с серверов США, Европы, Японии, России через домены weekend-service.com, coral-trevel.com и cubehost.biz.

В дальнейшем указанные сведения были растиражированы мировыми интернет-ресурсами, посвящёнными проблематике кибербезопасности (такими как nttcomsecurity.com, sohu.com, zdnet.com, secnews.gr, chinacybersafety.com, cyware.net и рядом других).

Выводы о подконтрольности «ИнфоКубу» вредоносного сайта cubehost.biz и адреса электронной почты info@cubehost.biz сделаны американским интернет-«расследователем», как он сам себя называет, исключительно на основании наличия фрагментарной персональной информации ГК «ИнфоКуб» и её руководителя в Whois и RIPE указанных сетевых ресурсов (несмотря на общеизвестную возможность любому пользователю Интернета использовать произвольные данные – в т.ч. похищенные чужие – при регистрации доменов).

ГК «ИнфоКуб» считает необходимым заявить следующее:

– наша компания работает исключительно в рамках российского и международного законодательства и никогда не принимала и не принимает участия в незаконных действиях, включая киберпреступность;

– факт кражи злоумышленниками общедоступных в Интернете (через сервис Whois) персональных данных ГК «ИнфоКуб» и её директора Артёма Тверитинова с официального сайта компании infokube.ru был установлен по результатам проведённого нами расследования ещё в 2015 году, после чего во избежание дальнейших неправомерных действий третьих лиц размещённые в сети детальные сведения на компанию и её руководителя (за исключением контактного адреса электронной почты) были удалены.

Отмечаем, что аналогичным образом находящиеся в открытом доступе официальные контактные данные с сайта любой компании, расположенной в любой стране, могут быть украдены киберпреступниками и использоваться затем для регистрации вредоносных сайтов от чужого имени;

– ни домен cubehost.biz, ни адрес электронной почты info@cubehost.biz группе компаний «ИнфоКуб» никогда не принадлежали и не принадлежат.

Впрочем, г-н Кребс не утруждает себя обоснованием принадлежности домена cubehost.biz и адреса электронной почты info@cubehost.biz компании «ИнфоКуб» (хотя и активно использует этот довод как основной – и единственный – в своих логических построениях). Очевидно, этот факт ему кажется доказанным уже в силу простого созвучия слов cubehost.biz и «ИнфоКуб».

К сожалению, под благовидным предлогом борьбы с киберпреступностью американский эксперт по интернет-расследованиям сам предпочёл тактику действий типичного сетевого тролля, под видом приглашения к диалогу воспользовавшись открыто предоставленной ему информацией для передёргивания и использования вне контекста (желающие могут убедиться в этом, прочтя прилагаемую переписку с этим джентльменом).

Напрашивается предположение, что обвинения в наш адрес были сформулированы (г-ном Кребсом лично?) заранее, а мнимые «доказательства» подгонялись – под изначально известные выводы – уже потом.

На этом фоне ГК «ИнфоКуб» крайне обеспокоена выявленными кибератаками на принадлежащие компании почтовые и VPN-сервера.

Особенно настораживает тот факт, что зафиксированные нашими специалистами попытки взлома корпоративных почтовых аккаунтов неустановленными злоумышленниками начались непосредственно накануне опубликования г-ном Кребсом недостоверной информации, порочащей деловую репутацию нашей компании.

Начиная с 14 июля 2016 года (т.е. уже спустя 4 дня после получения последнего письма от г-на Кребса и всего за двое суток до выхода его статьи) на входящем шлюзе ГК «ИнфоКуб» резко возросло количество попыток несанкционированного входа.

В систему управления из внешних сетей пытались ежедневно войти методом брутфорс-атаки путём перебора по словарю.

После серии сканирований портов и сервисов компании начались попытки получения доступа к её VPN-серверу.

В результате проведённого сотрудниками ГК «ИнфоКуб» анализа установлено, что попытки взлома проводились с применением приёмов сокрытия ip-адресов, с которых осуществлялись кибератаки, однако нашими специалистами были зафиксированы фактически использованные злоумышленниками реальные интернет-адреса.

В частности, специалистами ГК «ИнфоКуб» достоверно установлено, что с 22 июля по 2 августа 2016 года наиболее активно попытки взлома проводились с адреса 66.240.236.119, который является хостом census6.shodan.io, Сан-Диего, США (8929 Complex Drive, San Diego, CA, 92123, US).

На текущий момент фиксируются новые внешние адреса, с которых осуществляются попытки получения доступа к ресурсам ГК «ИнфоКуб», в том числе методом DDOS-атаки, в результате которой системы компании были переведены на резервные каналы связи.

К сожалению, киберпреступность, так же как и недобросовестные и лживые провокации вокруг неё, в наши дни могут угрожать благополучию любого человека или фирмы, соприкасающихся с IT-сферой.

ГК «ИнфоКуб» готова предоставить необходимые сведения по данной ситуации журналистам, представителям IT-сообщества и иным заинтересованным лицам и организациям в целях максимально прозрачного установления истинных обстоятельств изложенных событий.

ГК «ИнфоКуб» намерена по существующим официальным каналам запросить компетентные структуры США, занятые обеспечением кибербезопасности, о выявлении исполнителей и организаторов указанных хакерских атак с территории Соединённых Штатов, их скорейшем пресечении, наказании виновных лиц и компенсации нанесённого материального и репутационного ущерба.

При этом считаем необходимым проверить версию о возможной прямой или косвенной причастности к кибератакам Брайана Кребса как лица, заинтересованного в результатах указанных незаконных действий.

С учётом искажений, допущенных г-ном Кребсом при цитировании в публикациях нашей с ним переписки, не исключаем, что кибератаки на наши почтовые сервера проводятся с целью уничтожения оригинала переписки. Публикуем её в полном и оригинальном виде (с переводом русскоязычных фрагментов) во избежание дальнейших искажений и передёргиваний.

The Group of Companies InfoCube would like to respond to speculations made by Brian Krebs – an American blogging journalist - regarding InfoCube and its owner/CEO allegedly orchestrating the spread of Carbanak/Anunak malware.

The worm in question was used widely in the past few years to steal confidential banking data from the US, Europe, Japan, and Russia, and contaminated the web through malicious sites such as weekend-service.com, coral-trevel.com, and cubehost.biz.

Mr. Krebs, the US-based Internet "investigator", as he attributes self to, concluded that the malicious website, cubehost.biz, as well as the email address, info@cubehost.biz, were affiliated to InfoCube – merely based on the fact that InfoCube and its owner’s personal information snippets were used in Whois and RIPE records of the abovementioned malicious network resources. He found this "evidence" rigorous enough to publish it on his own blog (https://krebsonsecurity.com/2016/07/carbanak-gang-tied-to-russian-security-firm), from where this information was quickly disseminated by numerous Internet resources on cybersecurity such as nttcomsecurity.com, sohu.com, zdnet.com, secnews.gr, chinacybersafety.com, cyware.net, and more (all citing/using Mr. Krebs's blog as a source).

The obvious alternative that anyone can register a new domain using any data (including stolen data) – was not even considered.

In light of the aforementioned, the Group of Companies InfoCube considers necessary to state the following:

Our company works exceptionally within legal boundaries of Russian, and international, law. We neither have participated in the past nor currently participate in any illicit actions (including cybercrime).

The theft of publicly accessible (via Whois on our official website infoKube.ru) personal data of the company and its owner/CEO Artem Tveritinov was ascertained back in 2015 upon which all detailed personal information was removed (except contact email) in order to avoid inappropriate actions by a third party.

It should also be noted that publicly available contact information on official sites of any company in any country can be used by cybercriminals to register malicious websites under false pretenses.

Finally, we state that neither the cubehost.biz domain, nor the email address info@cubehost.biz have ever belonged to the Group of Companies InfoCube.

We find it unfortunate that Mr. Krebs did not bother to prove his claim that the domain cubehost.biz or the email address info@cubehost.biz were affiliated with InfoCube (although this conclusion is central to his allegations). It is really sad that a mere consonance of the words cubehost.biz and InfoCube is considered fact.

Unfortunately, under a specious excuse of fighting cybercrime, this American "expert" in Internet investigations chose the tactics of a typical network troll: under the guise of invitation to a dialog he had taken an advantage of information openly provided to him by InfoCube to misrepresent and use it out of the context (our email correspondence with Mr. Krebs is attached).

In fact, it’s hard for us to escape the surmise that these accusations were prepared (personally by Mr. Krebs?) in advance and all he had to do was to attach some imaginary evidence to them.

Against this background, the Group of Companies InfoCube is extremely concerned about repeated (and currently underway) cyberattacks on our mail and VPN servers.

Moreover, we find particularly alarming the fact that repeated attempts of unidentified intruders to hack into our corporative email accounts had been detected just before Mr. Krebs published his questionable report aimed to taint our company’s business reputation.

Beginning from the 14th of July (exactly 4 days after receiving Mr. Krebs’s last letter and just 48 hours before his blog report was published) the number of unauthorized access attempts on InfoСube's incoming gateway increased drastically. There were also daily attempts to bruteforce into our control system using dictionary attack. After series of port scanning attempts to access our VPN server were also detected.

All the cyberattacks were conducted using anonymizers. Nevertheless our experts were able to identify Internet addresses that intruders used.

From July, 22 to August, 2 most active attacks were run from the IP 66.240.236.119, which is a host client of census6.shodan.io, San-Diego, USA (8929 Complex Drive, San Diego, CA, 92123, US). Currently there are more attacking addresses being detected.

As a result of DDOS-attacks, the company was forced to actuate its backup communication channels.

Unfortunately, these days cybercrime, just as much as dishonest and deceitful provocations over it, may threaten well-being of any person or company in touch with the IT.

The Group of Companies InfoCube is ready to provide journalists, IT community representatives and other interested parties with any necessary information to clarify and ascertain true circumstances of the events described above.

Our company is determined to fight, through existing official channels in the US, perpetrators and masterminds of the attacks originating from the United States territory, to suppress hacking attempts, to punish guilty persons and seek compensation for material and reputational damages.

At the same time, we consider it necessary to investigate Brian Krebs's potential involvement (direct or indirect) in these attacks as a person interested in the outcomes of the illegal actions described above.

Taking into account the manipulations and jugglery Mr.Krebs used in his publications while citing our correspondence with him, we do not exclude the possibility that the primary intent of the attacks on InfoCube mail servers was to eliminate the original emails. In order to avoid further perversions and distortions we put them online in its full and original form (with translation of the fragments that were written in Russian).


Переписка с американским блогером:

brian krebs <krebsonsecurity@gmail.com> 2 июля 2016 г., 19:43
Кому: atveritinov@gmail.com

Dear Mr. Tveritinov,
My name is Brian Krebs. I'm an independent investigative reporter and editor of the security news site, KrebsOnSecurity.com. More about my media bona fides is here:

http://krebsonsecurity.com/about/
https://en.wikipedia.org/wiki/Brian_Krebs

I'm reaching out because I am working on a story about an apparent connection between your companies (infokube/cubehost) and malware attacks, specifically Carbanak related malware.
Could I trouble you to respond to this email as soon as possible?
Thanks in advance,
Bk
--
Brian Krebs
KrebsOnSecurity.com
202-657-5765
PGP Key: krebsonsecurity.com/bk.asc


Артем Тверитинов <atveritinov@gmail.com> 5 июля 2016 г., 22:49
Кому: brian krebs <krebsonsecurity@gmail.com>

Greets you, Brian. I have received your message, and they are very interested. Could you describe in more detail the connection of my company with those incidents and what I can help you !?
I wanted to clarify how you found my personal e-mail ?!
Have a nice day!


brian krebs <krebsonsecurity@gmail.com> 7 июля 2016 г., 1:14
Кому: Артем Тверитинов <atveritinov@gmail.com>

Hi Artem,
Yes. Here's the summary. This is not from me, mostly: It is the work of another researcher that I have been corresponding with. His conclusions appear to check out. What do you have to say about this?
Also, and perhaps as important: Why have you suddenly deleted your Vkontakte account? It was there a few days ago but now it is gone.
Thanks,
Bk
Evidence obtained from Internet domain name registration records links a Russian data security company, Infocube Ltd., (archived here), and its founder and CEO, Artem Vladimirovich Tveritinov, to two different Internet domain names that have been publically identified, by multiple well-known data security firms, as being command and control servers for the Carbanak banking malware. It has been widely reported that the Carbanak malware has been used over the past year to steal millions of dollars from banks, casinos, and other businesses in Russia, Europe, the United States, Japan, and other countries around the world. (1, 2, 3, 4, 5, 6, 7, 8 9)

Other evidence indicates the involvement of Infocube Ltd. and Mr. Tveritinov with deception and subterfuge in acquiring and operating one particular block of Internet Protocol (IP) addresses that has a well-documented history of cyber break-in attempts on the Internet.

The Weekend-Service.Com Domain
In calendar 2015, a detailed technical report describing the Carbanak banking malware was published on the web by the Slovakia-based data security firm ESET. This report identified the weekend-service.com domain as a command and control server for the Carbanak malware. The official WHOIS registration record for the weekend-service.com domain, as it existed in late 2015, indicated that this domain was registered to a person named Zhong Si on behalf of a Beijing company named Xicheng Co.. Critically, two telephone numbers, one for voice and one for FAX, were also provided in this domain registration record, i.e. +86.1066569215 and +86.1066549216, respectively. Note that despite appearances, these two phone numbers are not actually consecutive numbers, although one has to look very carefully at both of them to notice this significant detail. The presence of these two very distinct phone numbers, appearing together, within a single WHOIS record, is highly significant, as we shall soon see.

The Coral-Trevel.Com Domain
Also in calendar 2015, two additional detailed technical reports that also focused on the Anunak/Carbanak strain of banking malware were published on the web. The first of these two reports was authored by security firm Group-IB, while the second report was authored by Kaspersky Labs. Both of these two additional reports identify the domain name, coral-trevel.com, as also being a command and control server for the Anunak/Carbanak species of malware. The domain name WHOIS registration record for this domain... at least while it was still registered, prior to September, 2015 ... provided the exact same contact information as was given for the weekend-service.com domain, i.e. Zhong Si, Xicheng Co., and the voice and FAX phone numbers +86.1066569215 and +86.1066549216, respectively.

Common sense, past experience, and all readily available evidence strongly suggest that the person name, company name, street address and phone numbers that appeared in the registration records for both the weekend-service.com domain and the coral-trevel.com domain are all simply fradulent, put there deliberately to throw off any and all researchers and law enforcement investigators who might go searching for the actual perpetrators behind the Carbanak malware. Interestingly however, simple Google searches for either the voice and/or FAX phone numbers associated with either of these two Carbanak-connected domains reveals a number of other domain names that have also been registered with the exact same pair of non-consecutive contact phone numbers. One of these domains, in particular, deserves special attention.

The CubeHost.Com Domain
The official WHOIS registration record for the Internet domain name cubehost.biz... at least as it exists as of today (June 24, 2016)... indicates that this domain name was registered by Artem Tveritinov for use by his company, Infocube Ltd., located in the city of Perm, Russia. This domain registration record provides what purports to be voice and FAX numbers for Infocube Ltd. and/or Mr. Tveritinov. These voice/FAX contact numbers for Infocube and Tveritinov are +86.1066569215 and +86.1066549216, respectively, i.e. the exact same two phone numbers that have also appeared in the registration records for at least the two Carbanak command and control domains weekend-service.com and coral-trevel.com, as noted above.

The perfect match between these two distinctive phone numbers... which Tveritinov used for his cubehost.biz domain... and the two contact phone numbers that were used for the Carbanak command and control domains weekend-service.com and coral-trevel.com certainly suggests the very real possibility that Tveritinov, in addition to being the registrant of his cubehost.biz domain, was also the secret stealth registrant of the Carbanak command and control domains weekend-service.com and coral-trevel.com. In fact, there does not seems to be any other logical explanation for the perfect match-up of these two registration phone numbers in all three cases. These two unique, non-consecutive and, strangely enough, Chinese phone numbers are very nearly as definitive as a fingerprint. Because of the presence of this fingerprint within the WHOIS registration data for the cubehost.biz domain, we can say with a high degree of certainty that this pair of phone numbers is, in effect, Tveritinov's fingerprint. As detailed above, this exact same fingerprint is also all over the domain registrations for the Carbanak-connected weekend-service.com, and coral-trevel.com domains, thus effectively putting Mr. Tveritinov at the scene of the Carbanak crime.

Infocube, Ltd. - Specialization and Expertise
As noted above, Infocube, Ltd. effectively claims on its corporate web site that it has business relationships with a number of leading data security firms, including Kaspersky, Symantec, McAfee, and IBM. From this it may be inferred that Infocube, Ltd. has knowledge of data security issues generally. That impression is further reinforced by other online characterizations of the company (1, 2) which describe the company variously as being focused on either "Information Security" or (translated from Russian) "Safety and Protection: Data Protection".

More compelling and specific evidence about the primary focus of Infocube's business is available directly from Infocube's own corporate web site however. (Interestingly, among the many companies listed on the Partners page of its corporate web site, Infocube identifies... among many others... ESET as one of its many business partners. This is exceptionally ironic, because ESET's own report on the Carbanak malware led direction to the investigation that inspired this report.)

The Real Owner of 146.185.239.0/24
Even though the answer to that question cannot be found within the IP block registration record itself, directly, we can find the answer, indirectly, and by inference, based upon the information that actually is present within the registration record for this block. In fact, there are two separate, clear, and unambiguous indicators of the identity of the actual owner of this block, hidden within the block's registration record.

The first of these indicators is the contact e-mail address that appears within the registration record for 146.185.239.0/24, i.e. info@cubehost.biz. This is the exact same e-mail address that appears within the official WHOIS record for Mr. Tveritinov's cubehost.biz domain. Based upon that fact alone it is entirely reasonable to deduce that Mr. Tveritinov is the person who is actually in control of the 146.185.239.0/24 block at the present time, even despite any obfsucations to the contrary. Furthermore, there is an additional and second set of facts that also support and bolster the conclusion that Tveritinov is the actual owner of the 146.185.239.0/24 block.

Further evidence indicating the identity of the actual and current owner of the 146.185.239.0/24 IP address block can be readily obtained from the separate official RIPE data record that specifies the identity of the person or entity responsible for the ongoing maintenance of the primary registration record for the 146.185.239.0/24 block. The so-called handle for this maintainer record, as shown in the primary registration record for the 146.185.239.0/24 block, is CUBEHOST-MNT. The RIPE data record associated with this maintainer object is reproduced here.

As can be readily seen, this maintainer record leaves no doubt whatsoever about the identity of the person who is currently in control of the official registration record for the 146.185.239.0/24 block, and thus, by implication, of the block itself. It is none other than Mr. Artem Tveritinov of Perm, Russia. Thus, two separate lines of evidence both confirm that the true current controller of the 146.185.239.0/24 block is Mr. Tveritinov. Based on those dual lines of evidence, this conclusion appears difficult to refute.


Артем Тверитинов <atveritinov@gmail.com> 8 июля 2016 г., 15:55
Кому: brian krebs <krebsonsecurity@gmail.com>

Привет, Браин.
Наши персональные данные WHOIS были украдены еще в 2014-2015 году. Произошло это когда они были открыты и доступны по нашему текущему домену «infokube.ru», хост провайдера «nic.ru». По нашему расследованию, проведенному еще в 2015 году, данные WHOIS были использованы злоумышленниками в рассылке спама. Рассылка происходила путем зараженного сайта, скриптом на базе joomla либо Drupal. Рассылка спама позволяла расширять «бот» сеть данных злоумышленников. После нашего расследования ложные записи наших персональных данных были закрыты. Но позже они были зарегистрированы вновь на доменах, которые нам не принадлежали.
В данном примере, реально видно, что данные неверные даже в самом номере телефона, который нам никогда не принадлежал:

UpdateDelete
person: Tveritinov Artem
address: Russia, Perm, ul. Sovetskaya, 104, office 503
phone: +7 498 6195607
abuse-mailbox: info@cubehost.biz
nic-hdl: INFC2013
mnt-by: CUBEHOST-MNT
source: RIPE # Filtered

Эти данные попали в листы в сети Интернет, которые до сих пор всплывают в виде списков, где присутствуют и другие компании и физические лица.
Наша компания никогда не занималась незаконной деятельностью, и ведет свою работу в рамках законодательства Российской Федерации.
Да и было бы совершенно глупо использовать для регистрации доменов для совершения преступлений свои собственные персональные данные (как специалистам в области информационной безопасности).
На текущий момент мы продолжаем проводить расследование связанное с хищением и с распространением моих персональных данных. Если Вам интересны наши расследования и проекты, мы готовы обсудить возможные варианты сотрудничества и подписать с Вами договор.


brian krebs <krebsonsecurity@gmail.com> 8 июля 2016 г., 20:37
Кому: Артем Тверитинов <atveritinov@gmail.com>

Thanks for the reply, Artem, but I'm having trouble understanding what you're trying to say. And I even had a native speaker look at your email, and he couldn't understand it either.
It sounds like you're saying you don't know anything about those Chinese phone numbers in your company's Whois records? Is that right? Are you trying to say that your site (infokube) was hacked and that the hackers added fake information (those chinese phone numbers) to your WHOIS records? Because those phone numbers are still there in the current whois records for Cubehost.biz

Domain Name: CUBEHOST.BIZ
Domain ID: D57116681-BIZ
Sponsoring Registrar: BIZCN.COM, INC.
Sponsoring Registrar IANA ID: 471
Registrar URL (registration services): www.bizcn.com
Domain Status: clientTransferProhibited
Variant: CUBEHOST.BIZ
Registrant ID: ORGZS80716831781
Registrant Name: Artem Tveritinov
Registrant Organization: Infocube ltd.
Registrant Address1: Sovetskaya 104 503
Registrant City: Perm
Registrant State/Province: Perm Krai
Registrant Postal Code: 614068
Registrant Country: Russian Federation
Registrant Country Code: RU
Registrant Phone Number: +86.1066569215
Registrant Facsimile Number: +86.1066549216
Registrant Email: info@cubehost.biz
Administrative Contact ID: ORGZS80716832490
Administrative Contact Name: Artem Tveritinov
Administrative Contact Organization: Artem Tveritinov
Administrative Contact Address1: Sovetskaya 104 503
Administrative Contact City: Perm
Administrative Contact State/Province: Perm Krai
Administrative Contact Postal Code: 614068
Administrative Contact Country: Russian Federation
Administrative Contact Country Code: RU
Administrative Contact Phone Number: +86.1066569215
Administrative Contact Facsimile Number: +86.1066549216
Administrative Contact Email: info@cubehost.biz
Billing Contact ID: ORGZS80716833873
Billing Contact Name: Artem Tveritinov
Billing Contact Organization: Artem Tveritinov
Billing Contact Address1: Sovetskaya 104 503
Billing Contact City: Perm
Billing Contact State/Province: Perm Krai
Billing Contact Postal Code: 614068
Billing Contact Country: Russian Federation
Billing Contact Country Code: RU
Billing Contact Phone Number: +86.1066569215
Billing Contact Facsimile Number: +86.1066549216
Billing Contact Email: info@cubehost.biz
Technical Contact ID: ORGZS80716833248
Technical Contact Name: Artem Tveritinov
Technical Contact Organization: Artem Tveritinov
Technical Contact Address1: Sovetskaya 104 503
Technical Contact City: Perm
Technical Contact State/Province: Perm Krai
Technical Contact Postal Code: 614068
Technical Contact Country: Russian Federation
Technical Contact Country Code: RU
Technical Contact Phone Number: +86.1066569215
Technical Contact Facsimile Number: +86.1066549216
Technical Contact Email: info@cubehost.biz
Name Server: NS1.CUBEHOST.BIZ
Name Server: NS2.CUBEHOST.BIZ
Created by Registrar: BIZCN.COM, INC.
Last Updated by Registrar: BIZCN.COM, INC.
Domain Registration Date: Wed Oct 02 12:27:18 GMT 2013
Domain Expiration Date: Sun Oct 01 23:59:59 GMT 2017
Domain Last Updated Date: Tue Jun 28 15:01:44 GMT 2016
DNSSEC: false


Артем Тверитинов <atveritinov@gmail.com> 8 июля 2016 г., 22:52
Кому: brian krebs krebsonsecurity@gmail.com

Да, сайт CUBEHOST.BIZ не принадлежит мне. В нем лишь указанные мои персональные данные, кроме телефона. Данный телефон китайский, а не российский и ни когда мне не принадлежал. А данные были украдены с домена Infokube.ru в 2015 году.
Так часто происходит в сети Интернет.
Что бы Вам понять мое предыдущее сообщение, попробуйте его прочитать хорошим переводчиком.


brian krebs <krebsonsecurity@gmail.com> 8 июля 2016 г., 22:59
Кому: Артем Тверитинов atveritinov@gmail.com

Artem, so why did you delete your entire VK profile after I reached out to you? I watched it disappear from my screen.
[Цитируемый текст скрыт]
brian krebs <krebsonsecurity@gmail.com> 8 июля 2016 г., 23:06
Кому: Артем Тверитинов <atveritinov@gmail.com>
Also, you registered infokube.ru in 2011 but the only personal detail in any of the dozens of whois records available since the beginning is atveritinov@gmail.com
The rest of the records say "private person" only. There are no other records in the whois for that domain. So how did they steal it from there?


Артем Тверитинов <atveritinov@gmail.com> 9 июля 2016 г., 18:34
Кому: brian krebs <krebsonsecurity@gmail.com>

Браин, у Вас очень примитивные выводы. :)
Все верно записи были активны до 2015 года, после чего мы их скрыли, так как ранее провайдер и наше законодательство не позволяло это делать. После кражи персональных данных WHOIS они и были скрыты.
Поверьте мы знакомы с более серьезными инцидентами в области киберпреступлений по Всему миру и я Вас уверяю что Ваши выводы выглядят мягко говоря наивными. :) Поверьте, любой киберпреступник не станет заводить компанию занимающийся кибербезопасностью и не будет заниматься такими вещами.
Мы часто занимаемся киберпреступниками и наши данные к сожалению часто крадут и используют в качестве данных, что бы сбить столку при расследовании инцидентов.
Если Вам интересна наша работа мы готовы сотрудничать но только в рамках договора или коммерческого характера. Так как мы активно занимаемся только законной деятельностью на территории Российской Федерации.


brian krebs <krebsonsecurity@gmail.com> 9 июля 2016 г., 18:41
Кому: Артем Тверитинов atveritinov@gmail.com

That's not what the whois record at domaintools.com shows. Says the personal information in infokube.ru was removed shortly after the domain was registered in 2011, so how can what you just said be true?
Also, please answer my other outstanding question: Why did you delete your VK profile if you have nothing to hide?


brian krebs <krebsonsecurity@gmail.com> 9 июля 2016 г., 18:45
Кому: Артем Тверитинов atveritinov@gmail.com

Все верно записи были активны до 2015 года, после чего мы их скрыли, так как ранее провайдер и наше законодательство не позволяло это делать. После кражи персональных данных WHOIS они и были скрыты.
That's not what the whois record at domaintools.com shows. Says the personal information in infokube.ru was removed shortly after the domain was registered in 2011, so how can what you just said be true?
Also, please answer my other outstanding question: Why did you delete your VK profile of 4 years right after I contacted you? If you have nothing to hide, why would you do that?


Артем Тверитинов <atveritinov@gmail.com> 10 июля 2016 г., 23:16
Кому: brian krebs <krebsonsecurity@gmail.com>

Браин, вы очень наивны, а на личные вопросы я отвечать не хочу...
Если у Вас есть желание далее общаться, прошу соблюдать правила общения, я вам ни чем не обязан...
Хорошего времени суток.