40 millioner Wishbone-app-brugernes poster sælges online

Som vi nævnte i går, forsøger cyberkriminelle ofte at tjene penge på data, der blev kompromitteret for mange år siden. Da Catalin Cimpanu, en af ZDNets sikkerhedsreportere, fandt en annonce, der solgte oplysningerne fra Wishbone-appbrugere på et underjordisk forum, troede han sandsynligvis, at det var netop det, der sker.

Den populære quiz-applikation blev udsat for et dataovertrædelse tilbage i 2016, da hackere lækkede en database, der indeholdt de personlige oplysninger fra omkring 2,2 millioner brugere. På det tidspunkt hævdede cyberkriminelle, at de kun frigav en lille del af de stjålne oplysninger, og det så ud som om den nye annonce kunne indeholde resten af de oplysninger, der blev udleveret for fire år siden. Efter at have gennemgået en prøve fra den nyligt annoncerede database, indså Cimpanu imidlertid, at dette er et helt nyt hack.

En cyberkriminel sælger 40 millioner Wishbone-poster for $ 8 tusind

Sælgeren påpegede, at databasen blev taget i 2020, og ZDNets reporter bekræftede dette ved at kontrollere tidsstemplerne og gennemgå eksempeldataene mod et par overtrædelseskontroltjenester, som viste, at de faktisk er temmelig nylige. Antallet af berørte personer ligger på omkring 40 millioner, og posterne inkluderer navne, brugernavne, e-mail-adresser, telefonnumre, geografiske placeringer og hashede adgangskoder. Sælgeren beder om 0,85 bitcoins eller omkring 8 tusind dollars, hvilket betyder, at kontiene er prissat til $ 0,0002 stykket.

Wishbones udviklere er endnu ikke kommet med en officiel erklæring, men ZDNet har bekræftet, at dataene er ægte. Det er relativt billigt, og det tilbydes af det, der ser ud til at være en erfaren erhvervsdrivende. Catalin CImpanus undersøgelse afslørede, at den samme sælger tilbyder snesevis af databaser stjålet fra alle slags tjenesteudbydere. I alt vurderede reporteren, at cyberkriminelle er i besiddelse af hele 1,5 milliarder stjålne optegnelser.

Sælgeren har sandsynligvis ingen problemer med at skifte Wishbone-databasen, og mens han/hun tæller overskuddet, skal appens brugere overveje de potentielle konsekvenser af overtrædelsen.

Hvordan kan Wishbones dataovertrædelse påvirke brugerne?

Selvom ingen økonomiske data er involveret, er der nok personligt identificerbare oplysninger til at lette alle former for svindel. Med kontaktoplysningerne kan hackerne nemt komme i kontakt med potentielle mål, og resten af dataene kan hjælpe dem med at få en social engineering fælde, som ofrene sandsynligvis vil falde i. I betragtning af at det store flertal af Wishbones brugerbase består af teenage-piger er konsekvenserne af dataovertrædelsen skræmmende.

Du kunne argumentere for, at overtrædelsen ikke burde have fundet sted, men som vi tidligere har sagt, er intet selskab immun mod at blive ramt af cyberattacks. Kendsgerningen er imidlertid, at selv om Wishbone allerede har været igennem en sikkerhedshændelse, synes dens udviklere ikke at have lært deres lektie.

I annoncen sagde datasælgeren, at adgangskoder var hashet med SHA1. Dette er et problem, fordi SHA1 ikke er den mest robuste hash-funktion og kan vendes. Da Catalin Cimpanu kiggede på en prøve af de lækkede legitimationsoplysninger, indså han imidlertid, at adgangskoderne faktisk var hashet med MD5 - en algoritme, der kan brydes i sekunder med frit tilgængelige værktøjer.

Truslen mod folks Wishbone-konti er meget reel, og hvis berørte brugere genbruger de samme adgangskoder til flere tjenester, kan skaderne være endnu mere betydningsfulde.