En datavidshack har givet cyberkriminelle mulighed for at lække private poster fra mere end 8.000 overtrådte websteder

Onsdag er Vinny Troia, grundlæggeren af et cybersikkerhedsfirma kaldet Night Lion Security og en advarselsservice om datalækning ved navn Data Viper, klar til at holde en hovedtal på Secure Worlds sikkerhedskonference. I sidste uge annoncerede han stolt, at han i løbet af det vil afsløre den virkelige verden af nogle af medlemmerne af TheDarkOverlord, Gnostic Players og Shiny Hunters - tre hackinggrupper, der har lidt af et ry for at stjæle og lækker private data fra forskellige onlineudbydere. Dette ser ud til at have forstyrret nogle mennesker.

Hackere angriber Data Viper

Forleden modtog sikkerhedsreportere et anonymt tip, der førte dem til en mørk webportal, der indeholdt et populært internet-meme og ordene "Jeg er ved at afslutte denne mands hele karriere." Manden der er tale om er Vinny Troia.

Ifølge ZDNet er webstedet et elektronisk magasin, der i detaljer beskriver et vellykket angreb mod Data Viper. Tilsyneladende læste hacker gennem Data Vipers API-dokumenter omhyggeligt og fandt et glemt admin-adgangskode, som han senere brugte til at bryde ind. Det oprindelige kompromis fandt sted for mere end tre måneder siden, og siden da har angriberen formået at downloade hundreder af gigabyte af personlige oplysninger lækket af en række forskellige tjenester og indsamlet af Data Viper.

Indtrængende leverede en liste med 8.200 databaser, der angiveligt blev stjålet fra Data Viper, og de forsynede dem med prøver, hvilket antyder, at lækagen er reel. Selvom mange af posterne ser ud til at komme fra velkendte dataovertrædelser, er en hel del blevet stjålet fra hændelser, der endnu ikke er blevet offentliggjort endnu.

At beskadige Vinny Troias omdømme var utvivlsomt et af angriberens mål, men hackeren besluttede, at når de stjal alle disse data, kunne de lige så godt tjene penge på nogle af dem. Halvtreds af de største databaser, der angiveligt er hentet fra Data Vipers servere, er nu til salg på en af de mørke webs populære markedspladser.

Vinny Troia: Det var en testserver, og hackerne stjal ikke noget

Sammen med listen over databaser og eksempelposter leverede hacker også en arkiveret version af et TXT-dokument, der beviser, at de havde adgang til Data Vipers websted den 9. juli. Vinny Troia har ikke nægtet dette, men han sagde, at ikke alt er som det ser ud til.

Han indrømmer officielt, at en hacker formåede at kompromittere datalækovervågningstjenesten, men han hævder, at den hacket server er en del af Data Vipers udviklingsmiljø. Troia er fast ved, at angriberen ikke havde adgang til nogen produktionsfiler og databaser, og ifølge ham blev de gigabyte personlige oplysninger, som hacker prale i øjeblikket, opnået på andre måder.

Et hurtigt blik på diskussionen på Twitter viser, at ikke alle ser ud til at være enige med ham. Faktisk sætter nogle mennesker spørgsmålstegn ved Troias metoder til indsamling af kompromitterede data til Data Viper.

I sidste ende, hvem der har ret og hvem der har forkert, er det ikke for os at dvæle ved, ikke mindst fordi det for de millioner af mennesker, der har fået deres oplysninger stjålet og solgt på det mørke web, ikke virkelig er så relevant overhovedet.