1 milliard de mots de passe et adresses e-mail ont été divulgués. Qu'est-ce que ça veut dire?
Vous entendez des spécialistes de la cybersécurité parler de bourrage d'informations d' identification tout le temps, mais avez-vous déjà pensé à la pure logistique de la réussite d'une telle attaque? Le bourrage d'informations d'identification (ou le bourrage de mot de passe, comme on l'appelle parfois) signifie prendre des combos nom d'utilisateur et mot de passe divulgués sur un service en ligne et les essayer contre plusieurs autres. Étant donné que les utilisateurs utilisent les mêmes informations de connexion sur différentes plates-formes, une seule paire nom d'utilisateur / mot de passe peut ouvrir de nombreux comptes. La théorie est assez simple, mais certains d'entre vous ont peut-être déjà repéré quelques problèmes.
Tout d'abord, l'attrait de la farce des informations d'identification est qu'elle affecte plusieurs personnes à la fois. Si les pirates informatiques doivent saisir manuellement chaque paire de nom d'utilisateur et de mot de passe et attendre que le message "Connexion réussie" apparaisse, l'attaque ne sera pas particulièrement efficace. C'est pourquoi ils utilisent des scripts spéciaux et des botnets pour faire la plupart du travail à leur place. Cependant, toute cette automatisation est complètement inutile si les criminels n'ont pas un grand volume d'informations d'identification divulguées. Les obtenir est, à première vue, le plus gros problème.
Bien sûr, les escrocs peuvent toujours se rendre sur un marché sombre du Web ou sur un forum de piratage et décortiquer des bitcoins en échange de noms d'utilisateur et de mots de passe volés. Cependant, il s'avère parfois que tout ce qu'ils ont à faire est d'utiliser un moteur de recherche.
1,5 To d'adresses électroniques et de mots de passe laissés dans une base de données ElasticSearch non protégée
C'est précisément ce qu'a fait Bob Diachenko, un expert en cybersécurité responsable de la découverte et de la divulgation de nombreuses fuites de données massives: il a utilisé un moteur de recherche. Le 4 décembre, il a trouvé une base de données Elasticsearch qui n'était protégée par aucune forme d'authentification à l'aide de BinaryEdge - un service de numérisation Internet. Il contenait 2,7 milliards d'enregistrements pesant 1,5 To. Tous les enregistrements avaient des adresses e-mail, et environ 1 milliard d'entre eux contenaient également des mots de passe en clair, ce qui rendait la base de données parfaite pour quiconque essayait de lancer une attaque de bourrage d'informations d'identification à grande échelle.
En fait, cela pourrait être la raison pour laquelle les données ont fini par être exposées en premier lieu. Après l'avoir découvert, Diachenko a partagé ses conclusions avec des chercheurs de Comparitech qui ont regardé de plus près et ont déclaré que quelqu'un ajoutait de plus en plus d'enregistrements à l'installation d'Elasticsearch, peut-être en préparation d'une campagne de bourrage des informations d'identification. Les chercheurs n'ont pas pu savoir à qui appartenait la base de données, mais ils ont informé le FAI qui l'hébergeait et le 9 décembre, elle a été supprimée. BinaryEdge l'a indexé pour la première fois le 1er décembre, ce qui signifie que les informations de connexion sont restées exposées pendant plus d'une semaine. Pendant cette période, n'importe qui aurait pu les télécharger et les utiliser pour toutes sortes d'activités malveillantes.
La plupart des informations d'identification proviennent de "The Big Asian Leak"
En janvier 2017, un cybercriminel du surnom DoubleFlag a décrit le transfert de données de près d'un milliard de comptes qu'il tentait de vendre comme "The Big Asian Leak". Selon les experts de Comparitech, cette décharge a été placée dans la base de données Elasticsearch non protégée trouvée par Diachenko au début du mois.
La grande majorité des noms d'utilisateur et des mots de passe ont été volés dans les services en ligne chinois populaires et appartiennent à des personnes en Asie de l'Est, d'où le nom. Comme HackRead l'a signalé à l'époque, DoubleFlag voulait un peu plus de 600 $ pour les informations de connexion. Moins de trois ans plus tard, ils étaient accessibles à tous ceux qui avaient une connexion Internet et savaient où chercher. Cela montre à quelle vitesse les données se déprécient une fois volées.
Du côté positif, les noms d'utilisateur et les mots de passe sont maintenant assez anciens, ce qui signifie qu'au moins certains d'entre eux ne sont plus valides. Il y a une chose qui rend cette fuite de données particulière plus effrayante que d'autres incidents similaires. Les gens d'Extrême-Orient ont souvent du mal à comprendre et à taper des caractères latins, c'est pourquoi ils utilisent souvent leurs numéros de téléphone comme noms d'utilisateur lorsqu'ils créent leurs comptes de messagerie. Grâce à cela, la base de données non protégée a conduit à l'exposition de plusieurs numéros de téléphone, ce qui, en soi, peut causer beaucoup de dégâts.
Même si votre numéro de téléphone n'est pas inclus dans votre adresse e-mail, et même si vous n'êtes pas affecté par cette fuite de données particulière, l'exposition devrait à nouveau vous montrer quel type de risque vous courez en réutilisant les mêmes mots de passe sur plusieurs comptes.
