A hackerek megsértik a Mixcloud oldalt és értékesítik a felhasználók adatait online

Miután megsértették az online szolgáltatást vagy egy weboldalt, a hackerek általában megpróbálják pénzt keresni az ellopott adatokkal azáltal, hogy eladják azokat a sötét interneten vagy a Google által indexált és könnyen hozzáférhető sok hacker fórum egyikén. Tekintettel arra, hogy milyen értékes személyes információk lehetnek, az adatok más bűnözőknek történő eladása gyakran nem túl nagy kihívás. Nyilvánvaló azonban, hogy a feltöltött adatbázisokat néha nehezebb eltolni. Egy hackernek, például A_W_S becenévvel, valószínűleg nehezen tudott eladni egy olyan adatbázist, amelyet ellopt a Mixcloud streaming szolgáltatásból, ezért döntöttek úgy, hogy a szót kihozzák a támadásokkal a média felé dicsekedve.

A múlt héten az A_W_S felvette a kapcsolatot a TechCrunch Zack Whittakerrel, az alaplapon lévő Joseph Coxnel és a ZDNet Catalin Cimpanuval, és elmondta nekik, hogy a Mixcloud adatátvitelt szenvedett. Az A_W_S elmondta, hogy egyedül sikerült megjavítania a 21 millió előfizető rekordját, és az adatok egy sötét internetes piacon voltak értékesíthetők.

Az A_W_S valójában nem ilyen új dolog. A ZDNet újságírója szerint egy másik, a Gnosticplayers néven ismert számítógépes bűncselekmény mellett dolgoztak, akiknek a média figyelme iránti szeretete ez év elején vált nyilvánvalóvá néhány viszonylag magas rangú támadás után. De hogyan ragadja meg a Mixcloud szabálysértése a Gnosticplayers tevékenységeit?

Nem a legfélelmetesebb bántalmazás a világon

Mindhárom hírkészlet mintákat kapott az adatok hitelességének igazolására. Az újságírók felhasználói neveket, e-mail és IP címeket, a fiókok regisztrációjának dátumait és az emberek jelszavainak sózott kivonatait láthatták az adatbázisban. Kapcsolatba léptek az érintett személyekkel, és megpróbálták új Mixcloud-fiókokat regisztrálni néhány e-maillel, és megerősítették, hogy az információ valóban valódi. A regisztráció néhány időpontja azt sugallta, hogy a támadást csupán hetekkel ezelőtt vonják le. Tehát, az adatok valósak, és valószínűleg érvényesek. Jó dolog tehát, hogy nem nagyon sok van benne.

Miután megtudta a jogsértésről, a Mixcloud rámutatott, hogy nem tárol hitelkártya-adatokat vagy fizikai címeket. Azt is mondta, hogy a legtöbb felhasználó a Facebook-fiókjaival iratkozott fel a szolgáltatásra, ami önmagában bizonyos mértékben korlátozza a feltárt adatok mennyiségét. Ennél is fontosabb, hogy a streaming szolgáltató kijelentette, hogy a lopott jelszavakat sózották és biztonságosan kivonták, amit a hírközléseknek sikerült megerősíteni. A Mixcloud SHA-2-t használt - egy kivonatoló algoritmust, amelyet gyakorlatilag lehetetlen megfordítani.

Ennek eredményeként az adatbázisért fizető csalók valójában sokat nem kapnak pénzükért, ezért valószínűleg az adatok nem vonzzák annyira a figyelmet. Amikor a TechCrunch és az Alaplap november 29-én írt a szabálysértésről, az A_W_S 0,5 bitcoint vagy 4000 dollárt kért érte, de mire a ZDNet jelentése december 1-jén jelent meg, az árat 0,27 bitcoinra, vagyis körülbelül 2000 dollárra csökkentették.

Nem a legjobb válasz a világon

A Mixcloud nyilvánvalóan semmit sem tudott a jogsértésről, mielőtt a sajtóban közzétették az első jelentést. Körülbelül 24 órával a hír elterjedése után a streaming szolgáltató előállt azzal, amit Zack Whittaker meglehetősen pontosan "kazánlapú vállalati nyilatkozatnak" nevez. Az elkerülhetetlen „nagyon komolyan vesszük a biztonságot” nyilatkozaton túl a blogbejegyzés információkat tartalmazott a jelszó tárolási mechanizmusokról és a viszonylag korlátozott mennyiségű feltárt adatról. Nem tartalmazta a jogsértés által érintett személyek számát, és nem szólt semmi a jövőbeni jobb védelme érdekében tett óvintézkedésekről. A csak két kérdéssel rendelkező GYIK-rész felvételének döntése szintén elég furcsa, tekintettel arra a tényre, hogy állítólag több mint 20 millió rekordot loptak el.

Amikor az újságírók további észrevételeket kértek, a Mixcloud szóvivői elnémultak, ami egy újabb bizonyíték arra, hogy a streaming szolgáltató kissé átláthatóbb lett volna a nyilvánosságra hozatalában. Csak remélhetjük, hogy más adatszolgáltatást megsértő szállítók egy kicsit jobban tudják kezelni őket.