A Quidd felhasználókat figyelmeztetjük, hogy 4 millió bejelentkezési részletet kiszivárogtattak egy földalatti fórumon
Mint minden más üzlet, a lopott adatok kereskedelmét számos különféle tényező befolyásolja. Sok különböző ember alkotja az ellátási láncot, és mindenkinek sajátos szerepe van. Az adatok jellege és forrása határozza meg, hogy mekkora a kereslet, és ezek alapján alakul ki a kért ár. A RiskBased Security által a közelmúltban felfedezett, a ZDNet által bejelentett adatok megsértése nagyon jó betekintést nyújthat a dolgok működésébe.
Table of Contents
Quidd adatsértést szenvedett
A felfedezésre március 12-én került sor, amikor a RiskBased Security kutatói a ProTag nevű felhasználó hackezési fórumán észrevételeket találtak. A ProTag egy adatbázist kínált, amely a Quidd nevű digitális gyűjthető tárgyak kereskedési platformjának kevesebb mint 4 millió felhasználójának e-mail címeit, felhasználóneveit és hash jelszavait tartalmazza.
A ZDNet vizsgálata szerint a ProTag az a hacker, amely valóban áttörte Quidd védelmét és ellopta az adatokat 2019-ben. A március 12-i üzenet szokatlan volt, mivel általában nem a hackerek osztják el az adatokat. Általában ez az úgynevezett kereskedők feladata, akik akkor is részesednek a profitból, amikor a kiberbűnözők és a csalók úgy döntenek, hogy ellopják néhány ellopott felhasználónevet és jelszót.
Az egyik ilyen kereskedő azt mondta a ZDNet-nek, hogy a Quidd adatbázissal már jóval azelőtt kereskedtek, hogy a ProTag közzétette a hackelési fórumon. Nyilvánvaló, hogy az adatok kezébe kerültek a magánszemélyek által tárgyalt tranzakciók során. Még mindig ismeretlen, hogy ennek van-e valami köze, de a ProTag hozzászólása nem maradt sokáig online. Röviddel azután, hogy a RiskBased Security látta, törölték.
Március végén egy másik személy újból feltette a hirdetést ugyanazon a fórumon, és azóta az adatbázist számos alkalommal megosztották és újra megosztották. Meg kell jegyeznünk, hogy egy nyilvánosan elérhető fórumról beszélünk, és azt is kiemelnünk kell, hogy a Quidd-fiók adatait ingyenesen kínálják, ami azt jelenti, hogy bárki, aki rendelkezik internetkapcsolattal, ki is kapcsolhatja kedvenc böngészőjét, és letöltheti azt. De fogják?
Az erős hash algoritmus megnehezíti a csalók életét
Az egyik első dolog, amelyet meg kell tanulnunk egy jelszószivárgás esetén, a bejelentkezési hitelesítő adatok tárolásának módja. A számtalan figyelmeztetés ellenére egyes szolgáltatók továbbra is alapvető hibákat követnek el a jelszó tárolásában, és ennek eredményeként az emberek, akik a bejelentkezési adatokat a sötét interneten vásárolják meg, nagyszámú fiókot veszélyeztethetnek, és rajtuk keresztül hamisíthatják el a csalásaikat. Szerencsére a Quidd nem tartozik a szolgáltatók közé.
A jelszavakat bcrypt-en hasítottuk fel - ez az egyik legnehezebben feltörhető hash-algoritmus. A bcrypt-kivonatok visszaállítása a szöveges jelszavak törlésére rendkívül idő- és erőforrásigényes folyamat, és a számítógépes bűnözők gyakran úgy döntenek, hogy az erőfeszítés egyszerűen nem éri meg. Ebben az esetben azonban nem.
Amint a RiskBased Security rámutatott, a Quidd felhasználók millió dolláros értékű digitális gyűjtőeszközöket cserélnek, és nyilvánvalóan a csalók ezt elég nagy ösztönzőnek tekintik. Sokan már megpróbálták feltörni a hash-ot, és úgy tűnik, hogy néhánynak már sikerült. Az egyik ZDNet képernyőképe azt mutatja, hogy egy hacker mintegy 137 ezer Quidd felhasználónevet és jelszópárt kínál egyszerű szöveges formában, és a RiskBased Security szerint egy másik kereskedő azt állítja, hogy több mint 1 millió hash-ot repedt. Természetesen, mivel átmentek a nehézségek miatt az adatok hashizálása, ezek az eladók nem adják el ingyen.
Quidd még mindig csendben marad
Most, hogy az adatok nyilvánosak, a Quidd nem sokat tehet annak érdekében, hogy megakadályozza a számítógépes bűnözőket, hogy megosszák egymás között. Informálhatja a felhasználókat az eseményről, és lépéseket tehet a lehetséges következmények enyhítésére. Valamely ok miatt úgy tűnik, hogy nem tesz ezeket a dolgokat.
A platformon nincs hivatalos nyilatkozat, és a potenciálisan érintett felhasználók nem kapnak értesítést. Mind a RiskBased Security, mind a ZDNet kommentálási kérelmekkel írta a Quiddnek, de a platform inkább nem válaszolt. Tekintettel arra, hogy a bejelentkezési hitelesítő adatok némelyikével szöveges formában kereskednek, az érintett felhasználók számára kényszerített jelszó-visszaállítás jó hívásnak tűnik, ám Quidd ezt sem tette meg.
Mint láthatja, még a megfelelő jelszó tárolás sem elegendő a meghatározott számítógépes bűnözők megállításához, ami azt jelenti, hogy az adatszolgáltatás megsértése után a megfelelő viselkedés még fontosabbá válik az érintett szolgáltatók számára. Sajnos úgy tűnik, hogy a Quiddért felelős emberek ezt nem értik.