Az Unacademy jelentős adatsértést szenvedett: 22 millió rekordot adnak el a sötét interneten
Az Unacademy, a Facebook által támogatott, indiai alapú online tanulási platform súlyos adatmegsértést szenvedett, és emiatt egyes számítógépes bűnözők pénzt keresnek. Ezt tudjuk, mert a kiberbiztonsági társaság, a Cyble kutatói nemrégiben észleltek egy földalatti piacon egy hirdetést, amely egy adatbázist értékesít, amely a leírás szerint 20 millió Unacademy számlát tartalmaz. Annak érdekében, hogy felvegyék az AmIBreached.com megsértésfigyelő szolgáltatásába, a Cyble szakértői megszerezték az adatbázist, és rájöttek, hogy valójában alig 22 millió rekordot tartalmaz. Meglepőbb azonban az ár - mindössze 2000 dollár.
Table of Contents
A biztonságosan hashed jelszavak csökkentik az árat
A lopott információk széles körű elérhetősége azt jelenti, hogy az ilyen adatbázisok általában nagyon olcsók. Ebben az esetben azonban egyetlen dollár kevesebb mint 11 ezer számlát eredményez, ami elképesztően alacsony ár. Ennek azonban jó oka van.
Cyble megosztotta az adatbázist a Bleeping Computer újságíróival, akik megerősítették, hogy a dumpban tárolt jelszavak kivonásra kerültek az SHA256 segítségével - egy erős hash algoritmus. A hash-ek egyszerű szöveges jelszavakká változtatása nagyon nehéz lesz, és valószínűleg időbe telik, hogy a csalók vonakodjanak befektetni. Sőt, Hemesh Singh, az Unacademy műszaki vezetője, elmondta a Bleeping Computer-nek, hogy a platformon "OTP-alapú bejelentkezési rendszer" van, amely állítólag az érintett felhasználók további védelmét szolgálja.
A rendkívüli óvatosság miatt az Unacademy felhasználóknak továbbra is javasolják a jelszavak megváltoztatását, ám becsületes kijelentés, hogy a sötét interneten jelenleg értékesített adatbázis nem jelent közvetlen számla-átvételi veszélyt. Ez azonban nem azt jelenti, hogy a jogsértés jelentéktelen.
A hackerek az Unacademy adatait többféle módon is felhasználhatják
A SHA256 kivonatokon kívül minden rekord tartalmaz a felhasználó kereszt- és utónevét, felhasználónevét, e-mail címét, az utolsó bejelentkezés dátumát és a fiók létrehozásának dátumát. Más szavakkal, a hackerek, akiknek 2000 dollárra van szükségük, továbbra is hozzáférhetnek sok hasznos információhoz. A nyilvánosságra hozott adatok alapját képezhetik a gondosan kidolgozott lándzsás adathalász támadások, amelyek - az érintett személyek néhány helyzetének figyelembevételével - súlyos következményekkel járhatnak.
Cyble szerint sok felhasználó, aki az Unacademy jogsértésnek volt kitéve, a regisztráció során felhasználta vállalati e-maileit. Néhányuk nagyobb technológiai cégeknél dolgozik, mint például a Facebook, a Google, az Infosys, a Cognizant és a Wipro. Ha társadalmi mérnöki készségeik kielégítőek, a hackerek potenciálisan becsaphatják az áldozatokat olyan információk megosztására, amelyek lehetőséget teremtenek a nagyvállalatok hálózatának veszélyeztetésére.
Nyilvánvaló, hogy ezen a ponton ez csak egy hipotézis, és összességében nehéz megbecsülni, hogy mekkora lehet a jogsértés következményei, különös tekintettel a körülvevő ismeretlen személyekre.
Van néhány kérdőjel az Unacademy megsértése körül
Hemesh Singh szerint a jogsértés "körülbelül 11 millió tanulót érintett", de amint már említettük, az adatbázisban szereplő rekordok száma majdnem kétszer akkora. Sajnos Singh nem válaszolt a Bleeping Computer utólagos kérdéseire az eltérésről. A hackerek állításait sem kommentálta.
Singh nyilatkozata szerint a jogsértés során csak "alapvető információkat" tettek nyilvánosságra, de az állítólagos elkövetők elmondták Cyble-nek, hogy a 22 millió felhasználói rekord csak az ellopott adatok része. Azt mondják, hogy elkészítették az Unacademy "teljes adatbázisával", bár nyilvánvalóan nehéz megmondani, mennyire hitelesek állításaik.
Az Unacademy vizsgálatot indított, amely remélhetőleg megerősíti vagy tagadja ezeket az állításokat, és reméljük, hogy az eredményeket nyilvánosan közzéteszik. Időközben az Unacademy felhasználóknak tisztában kell lenniük az eseményhez kapcsolódó veszélyekkel, és ennek megfelelően kell viselkedniük.
