1 milliárd jelszó és e-mail cím lett kiszivárgva. Az mit jelent?
Hallja, hogy a kiberbiztonsági szakemberek folyamatosan beszélnek a hitelesítő adatok kitöltéséről, de gondolkodtál már azon a pusztán logisztikán, hogy ilyen támadást kivonni? A hitelesítő adatok kitöltése (vagy a jelszó kitöltése, amint arra gyakran hivatkoznak) azt jelenti, hogy az online szolgáltatásban kiszivárogtatott felhasználónév és jelszó kombinációkat egymás ellen kipróbálhatja. Mivel az emberek ugyanazokat a bejelentkezési hitelesítő adatokat használják különböző platformokon keresztül, egyetlen felhasználónév és jelszó pár sok fiókot nyithat meg. Az elmélet elég egyszerű, de valószínűleg néhányan már észleltek néhány problémát.
Először is, a hitelesítő adatok kitöltésének teljes vonzereje az, hogy egyszerre sok embert érint. Ha a hackereknek manuálisan kell beírniuk minden egyes felhasználónevet és jelszót, és meg kell várniuk a "Bejelentkezés sikeres" üzenet megjelenését, a támadás nem lesz különösen hatékony. Ezért speciális szkripteket és botneket használnak a munka nagy részének elvégzéséhez. Ez az automatizálás teljesen értelmetlen, ha azonban a bűnözőknek nincs nagy mennyiségű kiszivárogtatott hitelesítő adata. Első pillantásra a megszerzésük a nagyobb probléma.
A csalók természetesen mindig eljuthatnak egy sötét internetes piacra vagy egy hackelési fórumra, és ellophatnak néhány bitcoint az ellopott felhasználónevek és jelszavak cseréjéért. Mint kiderül, néha csak keresőmotor használatát kell tennie.
1,5 TB e-mail címek és jelszavak maradtak nem védett ElasticSearch adatbázisban
Bob Diachenko, a kiberbiztonsági szakértő, aki számos hatalmas adatszivárgás felfedezéséért és nyilvánosságra hozataláért felelős, éppen ezt tette - keresőmotort használt. December 4-én talált egy Elasticsearch adatbázist, amelyet semmilyen hitelesítés nem védett a BinaryEdge - egy internetes szkennelési szolgáltatás - segítségével. Ebben egy óriási 2,7 milliárd rekord volt, súlya 1,5 TB. Az összes rekordnak e-mail címe volt, és körülbelül 1 milliárd tartalmazott szöveges jelszavakat is, amelyek az adatbázist tökéletesnek tették bárki számára, aki nagyszabású hitelesítő adatok kitöltésének támadását próbálta elindítani.
Valójában ez lehet az oka annak, hogy az adatok végül nyilvánosságra kerültek. Miután felfedezte, Diachenko megosztotta megállapításait a Comparitech kutatóival, akik közelebbről megvizsgálták és azt állították, hogy valaki egyre több lemezt ad hozzá az Elasticsearch installációhoz, valószínűleg egy hitelesítő anyag kitöltési kampányának előkészítéseként. A kutatók nem tudták megtudni, ki birtokolja az adatbázist, de ők tájékoztatták az internetet üzemeltető internetszolgáltatót, és december 9-én eltávolították. A BinaryEdge először december 1-jén indexálta, ami azt jelenti, hogy a bejelentkezési hitelesítő adatok több mint egy héten maradtak kitéve. Ezen időszak alatt bárki letölthette és felhasználhatta mindenféle rosszindulatú tevékenységhez.
A hitelesítő adatok nagy része "A nagy ázsiai szivárgás" származik
2017 januárjában a DoubleFlag becenév alatt elkövetett kiberbűnöző közel egy milliárd fiók adatmennyiségét írta le, amelyet "The Big Asian Leak" néven próbált eladni. A Comparitech szakértői szerint ezt a kirakodást a hónap elején találták a Diachenko nem védett Elasticsearch adatbázisába.
A felhasználónevek és jelszavak túlnyomó többségét ellopták a népszerű kínai online szolgáltatásokból, és Kelet-Ázsiában élő emberekhez tartoznak, innen származik a név. Ahogy a HackRead akkoriban számolt be, a DoubleFlag valamivel több, mint 600 dollárt akart a bejelentkezési adatokhoz. Kevesebb, mint három évvel később, bárki számára elérhetők voltak, akik rendelkeztek internetkapcsolattal és tudták, hol kell keresni. Ez megmutatja, hogy az adatok milyen gyorsan csökkennek ellopása után.
A világos oldalán a felhasználónevek és a jelszavak már meglehetősen régiak, ami azt jelenti, hogy legalább néhányuk már nem érvényes. Egy dolog miatt ez az adat szivárogtathatóbb, mint más hasonló eseményeknél. A Távol-Keleten az emberek gyakran nehezen tudják megérteni és beírni a latin karaktereket, ezért e-mail fiókjaik létrehozásakor gyakran használják telefonszámukat felhasználónévként. Ennek köszönhetően a nem védett adatbázis nagyon sok telefonszám feltárásához vezetett, ami önmagában nagyon sok kárt okozhat.
Még akkor is, ha a telefonszámát nem tartalmazza az e-mail cím, és még akkor is, ha nem érint ez az adott adatszivárgás, az expozíciónak ismét meg kell mutatnia, hogy milyen kockázatot vállal, ha ugyanazokat a jelszavakat több fiókok.
