ठग हैकर नहीं हैं: 4 बैकएंड्स का विश्लेषण, सभी आसानी से समझौता किए गए
Firebase · Supabase · Express.js · Drainer-as-a-Service · फरवरी 2026

अस्वीकरण: विश्लेषण, हमला नहीं
इस लेख में प्रस्तुत की गई हर चीज़ का परिणाम है निष्क्रिय विश्लेषण और सार्वजनिक रूप से सुलभ डेटा. कोई भी सिस्टम नहीं तोड़ा गया। कोई प्रमाणीकरण बाईपास नहीं किया गया। प्रत्येक मामले में, घोटालेबाजों की अपनी गलत कॉन्फ़िगरेशन ने उनके बुनियादी ढांचे, पीड़ितों के डेटा और परिचालन पहचान को उन सभी के सामने उजागर कर दिया जो बस देख रहे थे। हर API कुंजी सार्वजनिक जावास्क्रिप्ट बंडलों में पाई गई। हर डेटाबेस ऑपरेटरों की अपनी ही योजना के कारण पूरी तरह से खुला था। हम इसे हमला करने के लिए नहीं बल्कि यह दिखाने के लिए दस्तावेज़ित कर रहे हैं कि जो लोग आपका क्रिप्टो चुरा रहे हैं अपने ही उपकरणों को भी सुरक्षित नहीं रख सकते.
मुख्य थीसिस: चोरी किए गए उपकरणों वाले स्क्रिप्ट किड्स
जनमानस में एक लगातार बनी रहने वाली मिथक है कि ऑनलाइन ठग "हैकर" होते हैं — तकनीकी मास्टरमाइंड जो कुशलता और परिष्कार के साथ सिस्टम में घुसपैठ करते हैं। यह गलत है।
आधुनिक क्रिप्टो ठग हैं खरीदे हुए टूलकिट का उपयोग करने वाले स्क्रिप्ट किडीवे $200–$500 में "ड्रेनर-एज़-ए-सर्विस" पैकेज खरीदते हैं, उन्हें मुफ्त या सस्ती होस्टिंग पर तैनात करते हैं, और प्रार्थना करते हैं कि उनके शिकारों को इसका पता न चले। वे कोड नहीं लिखते। वे नेटवर्किंग नहीं समझते। वे निश्चित रूप से सुरक्षा नहीं समझते।
हमें यह पता है क्योंकि फरवरी 2026 में, PhishDestroy ने विश्लेषण किया 4 स्वतंत्र घोटाला संचालन — और हर एक मामले में, हम कर सकते थे:
- सभी चोरी हुए पीड़ितों का डेटा पढ़ें (बीज वाक्यांश, ईमेल, आईपी, वॉलेट प्रकार)
- संशोधित या हटाया गया ठग का डेटाबेस
- ऑपरेटर की पहचान की गई खुलाए गए एपीआई कीज़, ईमेल पतों और इन्फ्रास्ट्रक्चर फिंगरप्रिंट्स के माध्यम से
- ठग के खिलाफ हमला दोहराया गया। — उन्हीं कमजोरियों का उपयोग करते हुए जिन्हें उन्होंने खुला छोड़ दिया था
कोई एक्सप्लॉइट्स की ज़रूरत नहीं। कोई ज़ीरो-डे नहीं। कोई "हैकिंग" नहीं। बस उन्होंने जो सामने का दरवाज़ा खुला छोड़ दिया था, उसे खोलकर.
मामला 1: द फैंटम एपीआई — server0002.mn19indexpre.xyz
अपाचे पर एक्सप्रेस.जेएस, शून्य वास्तविक सुरक्षा
| पैरामीटर | मूल्य |
|---|---|
| डोमेन | server0002.mn19indexpre.xyz |
| आईपी पता | 108.181.185.225 |
| सर्वर स्टैक | एपाची/2.4.58 (उबंटू) → एक्सप्रेस.जेएस (नोड.जेएस) |
| एसएसएच बैनर | SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11 |
| टीएलएस जारीकर्ता | लेट्स एन्क्रिप्ट (E7), वैध जनवरी–अप्रैल 2026 |
| डीएनएस रजिस्ट्रार | गॉडैडी (ns39/ns40.domaincontrol.com) |
| ईमेल (एमएक्स) | mn19indexpre-xyz.mail.protection.outlook.com |
| माइक्रोसॉफ्ट टेनेंट | NETORGFT19090185.onmicrosoft.com |
| पोर्ट्स खोलें | 22 (SSH), 80 (HTTP→301), 443 (HTTPS) |
प्रमाणीकरण — एक मज़ाक
API एक हार्डकोडेड बेयरर टोकन के साथ आती है: thisisakeyforsecureserver. लेकिन असली मज़ा तो यहाँ है — टोकन वास्तव में सत्यापित नहीं है।:
शून्य इनपुट सत्यापन
हमारे द्वारा परीक्षण किए गए प्रत्येक इंजेक्शन पेलोड को चुपचाप स्वीकार कर लिया गया:
प्रदर्शन फिंगरप्रिंट
POST पर पेलोड आकार (10 बाइट से 10 एमबी तक स्वीकार) की परवाह किए बिना लगभग 7.5 सेकंड का स्थिर प्रतिक्रिया समय, जो बैकएंड पर ईमेल फॉरवर्डिंग या वेबहुक रिले का संकेत देता है। GET 0.6 सेकंड में प्रतिक्रिया देता है। 10 समानांतर अनुरोध 9.1 सेकंड में पूरे होते हैं — कोई रेट लिमिटिंग लागू नहीं है।
अनामत्व हटाने की संभावना
माइक्रोसॉफ्ट 365 टेनेंट आईडी NETORGFT19090185 है एक संगठन खाते का सीधा लिंक जिसने इस डोमेन को पंजीकृत किया। GoDaddy पंजीकरण रिकॉर्ड और एक समर्पित आईपी (सीडीएन के पीछे नहीं) के साथ मिलाकर, यह ऑपरेटर है आसानी से पहचाने जाने योग्य कानूनी चैनलों के माध्यम से। एसपीएफ रिकॉर्ड (include:secureserver.net) GoDaddy ईमेल होस्टिंग की पुष्टि करता है — सभी ईमेल मेटाडेटा सबपोना के माध्यम से सुलभ हैं।
मामला 2: फायरबेस वाइड ओपन — web3ledgar.com
शून्य सुरक्षा नियमों के साथ फायरस्टोर
| पैरामीटर | मूल्य |
|---|---|
| फ़िशिंग डोमेन | web3ledgar.com ("लेजर" का टाइपोस्क्वाट) |
| वैकल्पिक डोमेन | web3.ledgerscore.ltd |
| फ़ायरबेस प्रोजेक्ट | web3ledger-210ab |
| एपीआई कुंजी | AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 |
| ऐप आईडी | 1:1054258933515:web:9fb193fcd0093023f7fc0e |
| जेएस बंडल | /static/js/main.7a5ec2fa.js |
| फ़ायरस्टोर नियम | पूरी तरह खुला — प्रमाणीकरण रहित पठन/लेखन |
| कुल पीड़ित | 12 रिकॉर्ड्स में users संग्रह |
| संग्रह मिले | users, transactions |
पीड़ित डेटा — किसी के लिए भी पूरी तरह सुलभ
Firestore REST API को एक एकल प्रमाणीकृत नहीं GET अनुरोध लौटा हर चोरी किया गया सीड वाक्यांश:
12 रिकॉर्डों में एक महत्वपूर्ण प्रविष्टि थी — किसी ने पहले ही सिस्टम का परीक्षण कर लिया था fbi@fbi.gov जैसा कि ईमेल में था। ठग ने या तो अपनी ही प्रणाली का परीक्षण किया (पहचान के लिए उपयोगी) या किसी और ने पहले ही इसकी जाँच कर ली थी।
हमला प्रवाह
फ़िशिंग साइट लेजर के वॉलेट इंटरफ़ेस की नकल करती है। पीड़ित "Connect Wallet" पर क्लिक करता है → सीड फ़्रेज़ दर्ज करता है → React फ्रंटएंड सीधे Firestore में लिखता है → स्कैमर उसी खुले डेटाबेस को पढ़ता है। बिलकुल भी कोई बैकएंड सर्वर नहीं। पूरा संचालन गूगल की मुफ्त परत पर चलता है।
अनामत्व हटाने की संभावना
फ़ायरबेस प्रोजेक्ट आईडी web3ledger-210ab और ऐप आईडी 1:1054258933515 हैं Google खाते से जुड़ा हुआ. Google सभी Firebase परियोजनाओं के लिए बिलिंग रिकॉर्ड, IP लॉग और खाता निर्माण डेटा रखता है। Google को एक ही कानून प्रवर्तन अनुरोध से ऑपरेटर की पहचान का पता चल जाता है। इसके अलावा, Firestore नियमों का पूरी तरह से खुला होना मतलब है हम उनके डेटाबेस में रिकॉर्ड दर्ज कर सकते थे।, पीड़ितों को वास्तविक समय में सूचित किया, या पूरे संग्रह को मिटा दिया।
केस 3: सुपैसबे फुल CRUD — web3safe-pal.com
पंक्ति-स्तर की सुरक्षा अक्षम, GraphQL पूरी तरह खुला
| पैरामीटर | मूल्य |
|---|---|
| फ़िशिंग डोमेन | web3safe-pal.com (सेफपाल का टाइपोस्क्वाट) |
| सुपेबेस प्रोजेक्ट | gzqsadraigchwdhblavp |
| अनाम कुंजी | में प्रदर्शित /assets/index-b025f4a6.js (748 केबी) |
| डेटाबेस तालिका | seeds — खोलें, डालें, अपडेट करें, हटाएँ |
| ग्राफ़क्यूएल | पूर्ण आत्मनिरीक्षण + उत्परिवर्तन सक्षम |
| एज फ़ंक्शन्स | send-wallet-import-email, send-email |
| ईमेल सेवा | पुनः भेजें एपीआई (env में RESEND_API_KEY) |
| पीड़ित रिकॉर्ड्स | आईडी 130–131 (129 पहले हटाया गया) |
| यूआई भाषा | रूसी ("मुख्य बटुआ", "आपका बटुआ लोड हो रहा है...") |
पूर्ण डेटाबेस पहुँच — पढ़ें, लिखें, हटाएँ
सुपेबेस एनॉन कुंजी, जो मिनिफाइड जावास्क्रिप्ट बंडल में पाई जाती है, प्रदान करती है पूर्ण CRUD पहुँच की ओर seeds तालिका:
आईडी 130 से शुरू होती हैं। — जिसका अर्थ है कि रिकॉर्ड 1–129 पहले ऑपरेटर द्वारा हटा दिए गए थे। कम से कम 131 सीड वाक्यांश इस प्रणाली से गुज़र चुके हैं।
एज फ़ंक्शन्स: ईमेल का सिलसिला
दो सुपैस एज फ़ंक्शंस सक्रिय हैं। हमने रिवर्स-इंजीनियर किया send-email पेलोड्स का परीक्षण करके फ़ंक्शन के अपेक्षित इनपुट फ़ॉर्मेट:
पुनः भेजें एपीआई कुंजी (RESEND_API_KEY) Supabase पर्यावरण चरों में संग्रहीत है। Resend प्रेषक सत्यापन रिकॉर्ड और बिलिंग डेटा बनाए रखता है — ऑपरेटर की पहचान का एक और सीधा मार्ग.
अनामत्व हटाने की संभावना
रूसी UI स्थानीयकरण ("Основной кошелек", "Ваш кошелек загружается...") एक का संकेत देता है रूसी भाषी ऑपरेटरसुपेबेस परियोजना (gzqsadraigchwdhblavp) बिलिंग रिकॉर्ड वाले खाते से जुड़ा है। पुनः ईमेल सेवा के पास प्राप्तकर्ता का ईमेल पता है। GraphQL इंट्रोस्पेक्शन पूरी डेटाबेस स्कीमा प्रकट करता है। हमने पूर्ण लेखन पहुँच का प्रदर्शन किया — हम हर चोरी हुए सीड फ़्रेज़ को पीड़ितों के लिए एक चेतावनी संदेश से बदल सकते थे।, या पूरी तालिका को हटा दिया। ऑपरेटर के पास डेटा पुनर्प्राप्त करने का कोई तरीका नहीं होगा।
मामला 4: औद्योगिक-स्तरीय ड्रेनर — aipolypredictor.xyz
5.8 दिनों में 19,000 बीज वाक्यांश
| पैरामीटर | मूल्य |
|---|---|
| फ्रंटएंड डोमेन | aipolypredictor.xyz ("पॉलीस्नाइपर | फ्रंट्रन इनसाइडर बेट्स") |
| सी2 एपीआई | api.yfhikblkhghdyteiuyf54.run |
| सी2 आईपीज़ | 172.67.168.147, 104.21.26.231 (क्लाउडफ्लेयर) |
| बैकएंड | एक्सप्रेस.जेएस (नोड.जेएस) v1.0.0 |
| रजिस्ट्रार (फ्रंटएंड) | नाइसएनआईसी इंटरनेशनल ग्रुप कंपनी |
| पंजीयक (सी2) | पीडीआर लिमिटेड (पब्लिकडोमेनरेजिस्ट्री.कॉम) |
| अपटाइम | ~139 घंटे (शुरू ~2026-02-10 21:00 UTC) |
| ड्रेनर किट सीडीएन | renderer-postcard.defex.cc (601 KB अस्पष्ट JS) |
| टेलीग्राम बॉट | सक्रिय, सूचनाओं के लिए एकीकृत |
| दर सीमा | 10 अनुरोध/60 सेकंड (केवल यही सीमा मिली) |
क्रमागत आईडीज़ द्वारा प्रकट किया गया पैमाना
सबसे घातक गलती: क्रमिक जॉब आईडी. प्रत्येक सीड फ़्रेज़ सबमिशन एक बढ़ता हुआ आईडी लौटाता है, जिससे कोई भी कुल वॉल्यूम की गणना कर सकता है:
मल्टी-चेन आर्किटेक्चर
C2 सर्वर सभी प्रमुख चेनों में गहराई-100 व्युत्पत्ति पथों का उपयोग करके कुंजियाँ प्राप्त करता है:
अभियान अवसंरचना
2 ऑपरेटर समूहों में 11 पुष्ट डोमेन, बंडल आईडी द्वारा ट्रैक किए गए:
| बंडल आईडी | डोमेन | स्थिति |
|---|---|---|
88ef78f5... | एआईपोलिप्रेडिक्टर.xyz | प्रत्यक्ष |
4446ea5d... | सोलना.ऑनस्पेस.ऐप, सोलएक्सजुप.ऑनस्पेस.ऐप | प्रत्यक्ष |
| डेफैक्स डॉट सीसी किट | जुप-v2.com, इवेंट्स-चैरिज़ार्ड.फ़न, इवेंट्स-लिक्विड.फ़न, इवेंट्स-ब्लैकस्वान.फ़न, सोलजुप.ऑनस्पेस.बिल्ड | मिश्रित |
जावास्क्रिप्ट पेलोड विश्लेषण
तीन अस्पष्टीकृत JS पेलोड्स ड्रेनर की सेवा करते हैं:
- वॉलेट-कनेक्ट.जेएस (46 KB) — वॉलेट कनेक्शन UI को संभालता है, सीड इनपुट को इंटरसेप्ट करता है। स्ट्रिंग ऐरे रोटेशन अस्पष्टीकरण।
- वॉलेट-विशिष्ट-मोडल्स.जेएस (134 KB) — में शामिल है पूर्ण BIP39 अंग्रेज़ी शब्द-सूची और मोनेरो वर्डलिस्ट (1,626 शब्द)। console.log/trace ओवरराइड्स के माध्यम से एंटी-डिबगिंग। मल्टी-वॉलेट मोडल समर्थन।
- डिफेक्स डॉट सीसी/इंडेक्स डॉट जेएस (601 KB) — चीनी चर नामों के साथ यूनिकोड-अस्पष्ट। सोलैना-विशिष्ट ड्रेनर लॉजिक। Base58 एन्कोडर, क्रिप्टो कुंजी व्युत्पत्ति प्रिमिटिव्स। संस्करण 3.0.0।
अनामत्व हटाने की संभावना
द CORS: * हेडर और प्रमाणीकरण की कमी का अर्थ कोई भी अनुरोध सबमिट कर सकता है और जॉब आईडी में वृद्धि देख सकता है। वास्तविक समय में। टेलीग्राम बॉट एकीकरण का मतलब है कि ऑपरेटर के टेलीग्राम खाते को सूचनाएं मिलती हैं — और टेलीग्राम मेटाडेटा को समन के जरिए प्राप्त किया जा सकता है। NiceNIC (फ्रंटएंड के लिए रजिस्ट्रार) एक जाना-माना बुलेटप्रूफ रजिस्ट्रार है जिसे हमने पहले जांचा गया, लेकिन पीडीआर लिमिटेड (सी2 डोमेन रजिस्ट्रार) कानून प्रवर्तन अनुरोधों का जवाब देता है. का defex.cc ड्रेनर किट 255+ डोमेनों को सेवा प्रदान करता है — defex.cc को समझौता करने से पूरे DaaS ऑपरेशन और उसके सभी ग्राहकों का खुलासा हो जाएगा।
एक साथ तुलना: 4 ऑपरेशन, एक ही पैटर्न
| मेट्रिक | एमएन19इंडेक्सप्री एक्सप्रेस.जेएस | वेब3लेडगर फ़ायरबेस | वेब3सेफ-पाल सुपेबेस | एआईपॉलीप्रेडिक्टर ड्रेनर C2 |
|---|---|---|---|---|
| प्रमाणीकरण | कोई नहीं (टोकन अनदेखा किया गया) | कोई नहीं | JS में एनॉन की | कोई नहीं (CORS: *) |
| डेटा पठनीय | संदेश/रिले | सभी बीज वाक्यांश | सभी बीज वाक्यांश | नौकरी आईडी / पैमाना |
| डेटा लिखने योग्य | हाँ (असीमित) | हाँ | हाँ (पूर्ण CRUD) | हाँ (सबमिट करें) |
| इनपुट सत्यापन | शून्य | शून्य | शून्य | न्यूनतम |
| दर सीमितकरण | कोई नहीं | कोई नहीं | कोई नहीं | 10 रिक्वेस्ट/60 सेकंड |
| पुनः पहचान योग्य | MS365 टेनेंट | गूगल खाता | पुनः भेजें + सुपैस बिलिंग | पीडीआर + टेलीग्राम |
| अनुमानित पीड़ित | अज्ञात | 12 | 131+ | 19,000+ |
| ऑपरेटर भाषा | अज्ञात | अंग्रेज़ी | रूसी | अज्ञात |
ठग हैकर क्यों नहीं होते
सबूत बहुत प्रचुर हैं। सभी चार अभियानों में, हम एक ही पैटर्न देखते हैं:
- पहले से बने ड्रेनर किट खरीदें ($200–$500)
- मुफ्त टियर (Firebase, Supabase) पर डिप्लॉय करें
- डिफ़ॉल्ट विन्यासों को जस का तस छोड़ दें
- हार्डकोडेड टोकन का उपयोग करें, वे सत्यापित नहीं होते।
- RLS को कभी सक्षम न करें, CORS को कभी प्रतिबंधित न करें।
- मेटाडेटा में अपनी पहचान उजागर करें
- ऐसे क्रमागत आईडी का उपयोग करें जो अपने पैमाने को प्रकट करते हों।
- कस्टम एक्सफिल्ट्रेशन टूल्स लिखें
- एन्क्रिप्टेड, प्रमाणीकृत चैनलों का उपयोग करें
- पहचानकर्ताओं को यादृच्छिक करें, अवसंरचना को घुमाएँ
- उचित पहुँच नियंत्रण लागू करें
- टोर/प्रॉक्सी चेन का उपयोग करें, गुमनाम भुगतान करें।
- होस्टिंग से परिचालन पहचान को अलग करें
- एंटी-फॉरेंसिक तकनीकों को लागू करें
औसत Drainer-as-a-Service ग्राहक एक है क्रेडिट कार्ड वाला सामाजिक अभियंता, तकनीकी ऑपरेटर नहीं। वे डोमेन पंजीकृत करना और होस्टिंग पैनल में कोड पेस्ट करना जानते हैं। वे यह नहीं जानते कि कैसे:
- Firestore सुरक्षा नियमों को कॉन्फ़िगर करें (लगभग 2 मिनट लगेंगे)
- Supabase पंक्ति-स्तर सुरक्षा सक्षम करें (इसमें 5 मिनट लगेंगे)
- इनपुट को मान्य और स्वच्छ करें (इसमें 30 मिनट लगेंगे)
- क्रमिक पूर्णांकों के बजाय UUID का उपयोग करें (एक ही लाइन में कोड लिखा जा सकता है)
- CORS को केवल अपने डोमेन तक सीमित करें (केवल एक पंक्ति कॉन्फ़िग की आवश्यकता होगी)
ये परिष्कृत विरोधी नहीं हैं। ये वे लोग हैं जो डेटाबेस कॉन्फ़िगर नहीं कर सकते।
समझौते के संकेतक (IOCs)
डोमेन
आईपी पते
एपीआई कुंजी और प्रोजेक्ट आईडी
निष्कर्ष: सम्राट के पास कोई कपड़े नहीं हैं
मुख्य बात
हमारे द्वारा विश्लेषण किए गए प्रत्येक घोटाले का संचालन हो सकता था। पूरी तरह से समझौता किया गया, डी-अनामीकृत और बाधित केवल एक वेब ब्राउज़र, curl और सार्वजनिक रूप से उपलब्ध दस्तावेज़ीकरण का उपयोग करके। हर मामले में, हमलावरों ने अपने डेटाबेस पूरी तरह खुले छोड़ दिए, अपनी API कुंजियाँ सार्वजनिक JavaScript फ़ाइलों में रख दीं, अपनी पहचान मेटाडेटा में छोड़ दी, और अपने पीड़ितों का डेटा उन सभी के लिए सुलभ बना दिया जो देखने की जहमत उठाते।
पाठ सरल है: ठग हैकर नहीं होते।वे दुकानचोर हैं जिन्होंने AliExpress से एक लॉक-पिक सेट खरीदा और अपने सामने के दरवाजे को लॉक करना भूल गए। वे जो उपकरण इस्तेमाल करते हैं वे परिष्कृत हैं — क्योंकि उन्हें किसी और ने बनाया है। ये ऑपरेटर स्वयं शौकिया हैं जो अपनी बुनियादी तकनीकी साक्षरता रखने वाले किसी भी व्यक्ति के सामने विश्वसनीय रूप से अपनी इन्फ्रास्ट्रक्चर, अपने शिकारों का डेटा और अपनी पहचान उजागर कर देते हैं।
यदि आपने इनमें से किसी भी साइट पर अपना सीड वाक्यांश दर्ज किया है — तो मान लें कि आपका वॉलेट समझौता हो गया है और तुरंत धनराशि स्थानांतरित करें।
सभी निष्कर्षों को संबंधित सेवा प्रदाताओं (Google/Firebase, Supabase, Cloudflare, डोमेन रजिस्टार) को सूचित कर दिया गया है और कानून प्रवर्तन के लिए दस्तावेजीकृत किया गया है। उपरोक्त IOCs को जोड़ा गया है PhishDestroy नष्ट-सूची.


