Sono stati rubati 1 miliardo di password e indirizzi e-mail. Cosa significa?
Senti che gli specialisti della cibersicurezza parlano sempre di roba credenziale, ma hai mai pensato alla pura logistica di attuare un simile attacco? Riempimento delle credenziali (o riempimento della password, come viene talvolta chiamato) significa prendere combinazioni di nome utente e password trapelate in un servizio online e provarle contro più altre. Poiché le persone utilizzano le stesse credenziali di accesso su piattaforme diverse, una singola coppia di nome utente e password può aprire molti account. La teoria è abbastanza semplice, ma alcuni di voi potrebbero aver già individuato un paio di problemi.
Innanzitutto, il fascino del ripieno di credenziali è che influisce su molte persone contemporaneamente. Se gli hacker devono inserire manualmente ogni singola coppia di nome utente e password e attendere che appaia il messaggio "Accesso riuscito", l'attacco non sarà particolarmente efficace. Ecco perché usano script e botnet speciali per fare la maggior parte del lavoro per loro. Tutta questa automazione è completamente inutile, tuttavia, se i criminali non hanno un grande volume di credenziali trapelate per cominciare. Ottenere loro è, a prima vista, il problema più grande.
Naturalmente, i truffatori possono sempre andare in un mercato web oscuro o in un forum di hacking e sborsare alcuni bitcoin in cambio di nomi utente e password rubati. A quanto pare, tuttavia, a volte, tutto ciò che devono fare è utilizzare un motore di ricerca.
1,5 TB di indirizzi e-mail e password lasciati in un database ElasticSearch non protetto
Bob Diachenko, un esperto di sicurezza informatica che è stato responsabile della scoperta e della divulgazione di molte enormi perdite di dati, ha fatto proprio questo - ha usato un motore di ricerca. Il 4 dicembre, ha trovato un database Elasticsearch che non era protetto da alcuna forma di autenticazione con l'aiuto di BinaryEdge, un servizio di scansione di Internet. In esso, c'erano ben 2,7 miliardi di dischi con un peso di 1,5 TB. Tutti i record avevano indirizzi e-mail e circa 1 miliardo di essi conteneva anche password in chiaro, il che rendeva il database perfetto per chiunque cercasse di lanciare un attacco di riempimento delle credenziali su larga scala.
In realtà, questo potrebbe essere il motivo per cui i dati sono stati esposti in primo luogo. Dopo averlo scoperto, Diachenko ha condiviso le sue scoperte con i ricercatori di Comparitech che hanno dato un'occhiata più da vicino e hanno detto che qualcuno stava aggiungendo sempre più record all'installazione di Elasticsearch, probabilmente in preparazione per una campagna di riempimento delle credenziali. I ricercatori non sono stati in grado di scoprire chi fosse il proprietario del database, ma hanno informato l'ISP che lo ospitava e il 9 dicembre è stato rimosso. BinaryEdge l'ha indicizzato per la prima volta il 1 ° dicembre, il che significa che le credenziali di accesso sono rimaste esposte per oltre una settimana. Durante quel periodo, chiunque avrebbe potuto scaricarli e usarli per ogni sorta di attività dannosa.
La maggior parte delle credenziali proviene da "The Big Asian Leak"
Nel gennaio 2017, un criminale informatico chiamato soprannome DoubleFlag ha descritto il dump di dati di quasi 1 miliardo di account che stava cercando di vendere come "The Big Asian Leak". Secondo gli esperti di Comparitech, questa discarica è stata inserita nel database non protetto di Elasticsearch che Diachenko ha trovato all'inizio del mese.
La stragrande maggioranza dei nomi utente e delle password sono stati rubati dai popolari servizi online cinesi e appartengono a persone dell'Asia orientale, da cui il nome. Come riportato da HackRead all'epoca, DoubleFlag voleva poco più di $ 600 per le credenziali di accesso. Meno di tre anni dopo, erano accessibili a chiunque avesse una connessione Internet e sapesse dove cercare. Ciò mostra quanto rapidamente i dati si deprezzano dopo essere stati rubati.
Sul lato positivo, i nomi utente e le password ora sono piuttosto vecchi, il che significa che almeno alcuni di essi non sono più validi. C'è una cosa che rende queste perdite di dati particolari più spaventose di altri incidenti simili, però. Le persone in Estremo Oriente hanno spesso difficoltà a comprendere e digitare caratteri latini, motivo per cui spesso usano i loro numeri di telefono come nomi utente quando creano i loro account e-mail. Grazie a ciò, il database non protetto ha portato all'esposizione di alcuni numeri di telefono, che, di per sé, possono causare molti danni.
Anche se il tuo numero di telefono non è incluso nel tuo indirizzo e-mail e anche se non sei interessato da questa particolare perdita di dati, l'esposizione dovrebbe mostrarti ancora una volta quale tipo di rischio stai correndo riutilizzando le stesse password tra più conti.
