I tuoi dati personali sono tra i 620 milioni di account che sono stati messi in vendita sul web oscuro?

620 Million Records For Sale On The Dark Web

Di cosa hai bisogno se vuoi mettere le mani su oltre 617 milioni di record di account rubati da 16 diversi siti web? Abbiamo una risposta sorprendentemente specifica. Hai bisogno di una connessione internet, circa 16 mila dollari di bitcoin e solo 43 GB di spazio di archiviazione gratuito sul tuo disco fisso.

I dati sono in vendita su Dream Market - un mercato del web oscuro accessibile a chiunque disponga di un browser Tor. Rivista IT online Il registro è stato il primo a riferire sui dettagli.

Cosa c è in offerta?

Ancora una volta, la risposta è piuttosto specifica. Ecco un riassunto:

  • 161 milioni di record sottratti da un applicazione di messaggistica video chiamata Dubsmash . I record includono nomi utente, indirizzi e-mail, ID utente, i paesi di residenza degli utenti e le password con hash SHA256.
  • Poco meno di 15 milioni di dischi rubati a 500px , una comunità di fotografia online. I dati compromessi includono, tra le altre cose, nomi utente, indirizzi e-mail, nome e cognome, date di nascita, hash sali e password che sono stati sottoposti a hashing con MD5, SHA512 o bcrypt.
  • Un po più di 22,3 milioni di record presi da EyeEm , un altra piattaforma online per i fotografi. La maggior parte dei record è composta da un indirizzo email e una password con hash SHA1.
  • Poco meno di 20,2 milioni di record estratti da 8fit , un app per la salute e il fitness. I dati comprendono IP, nomi, indirizzi e-mail, token di autenticazione di Facebook e informazioni da account Facebook collegati, il paese di residenza dei singoli utenti e password bcrypt-hash.
  • 16 milioni di dischi che appartengono a Fotolog , un altro social network per i fotografi. Il dump contiene nomi, domande e risposte sulla sicurezza, indirizzi e-mail, password con hash SHA256 e altre informazioni sul profilo.
  • Più di 25 milioni di record rubati da Animoto , una piattaforma per la creazione di video. I record includono nome e cognome, indirizzo e-mail, paese di residenza, data di nascita, sali hash e password hash SHA256.
  • Un po più di 92 milioni di dischi rubati da MyHeritage , una piattaforma di genealogia online. I dati includono le date in cui sono stati creati gli account compromessi, gli indirizzi e-mail, le password con hash SHA1 e i sali hash.
  • Un po più di 151 milioni di record rubati da MyFitnessPal , un app di fitness di proprietà di Under Armour. Ogni record è composto da un indirizzo IP, un ID utente, un nome utente, un indirizzo email, un valore di sale corretto per intera tabella e una password con hash SHA1.
  • 1 milione di documenti rubati da Artsy , un centro online per collezionisti arte. I record includono nomi, indirizzi email e IP, posizioni e password hash SHA512 con sali.
  • 11 milioni di record sottratti a Armor Games , un sito Web per giochi basati su browser. I dati sono costituiti da nomi utente, indirizzi e-mail, date di nascita, password e sali con hash SHA1, nonché altri dettagli del profilo.
  • 8 milioni di record presi da Bookmate , un servizio di abbonamento a eBook. La maggior parte dei record è composta da vari dettagli del profilo, nomi utente, indirizzi e-mail e password con hash SHA512 con sali.
  • Poco meno di 6,2 milioni di record da CoffeeMeetsBagel , un sito di incontri. La maggior parte dei record contiene nomi, indirizzi e-mail, date di registrazione, password con hash SHA256 e altri dettagli dell account.
  • 700 mila record sottratti a DataCamp , una piattaforma di formazione online per persone che vogliono conoscere la scienza e la programmazione dei dati. I dati rubati sono costituiti da indirizzi e-mail, password con crittografia hash e altri dettagli del profilo.
  • 28 milioni di dischi rubati da HauteLook , un azienda di e-commerce che vende vestiti e gioielli. I record contengono nomi, indirizzi email e password bcrypt-hash.
  • 41 milioni di record estratti da ShareThis , un widget per browser e piattaforme di blogging che semplifica la condivisione dei contenuti. I dati contengono nomi, nomi utente, indirizzi e-mail, date di nascita e altre informazioni del profilo, oltre alle password con hash DES.
  • Poco meno di 18 milioni di record rubati da Whitepages , un elenco telefonico e di indirizzi online. I dati sono composti da nome e cognome, indirizzi e-mail e password che sono stati sottoposti a hashing con SHA1 o bcrypt.

La maggior parte dei database è stata apparentemente ottenuta nel 2018 e possono essere acquistati singolarmente a prezzi che vanno da poco meno di $ 50 a circa $ 2000. Il venditore ha detto che qualcuno ha già acquistato i dati Dubsmash.

Nessuno sapeva della maggior parte delle violazioni

Abbiamo parlato in passato di come alcuni episodi di hacking siano rimasti sconosciuti per anni e il tesoro dei dati sopra descritti è un punto piuttosto positivo. Tra tutti i venditori che sono stati violati, solo MyFitnessPal , MyHeritage e Animoto hanno rivelato i dati trapelati anno scorso. Il resto o non sapeva degli incidenti o li stava deliberatamente nascondendo.

Ora, tutto sta venendo alla luce. Poco dopo che il rapporto del registro è uscito lunedì, 500px ha iniziato a reimpostare le password degli utenti, e da allora, EyeEm e DataCamp hanno anche iniziato a notificare i proprietari degli account interessati. Quando contattato da The Register, alcuni dei venditori hanno detto che hanno bisogno di più tempo per investigare prima di poter fare un annuncio pubblico.

Un sogno di stuffer di credenziali

Speriamo che tutte le parti interessate facciano ciò di cui hanno bisogno prima o poi perché non è dubbio che i dati siano validi e possano essere utilizzati. I nomi utente e le password sono perfetti per gli attacchi di riempimento delle credenziali, in parte perché ce ne sono così tanti, e in parte perché sono relativamente nuovi. Le raccolte trapelate che recentemente hanno fatto parecchi titoli hanno attirato molta attenzione a causa del volume di dati che contenevano. Perché i nomi utente e le password in questi dump di dati sono stati rubati anni fa, tuttavia, molti di loro sono inutili. Con queste violazioni più recenti, le possibilità di estrarre credenziali valide sono molto più significative.

Ciò è in parte dovuto alle abitudini di archiviazione delle password dei venditori. Come puoi vedere, nessuno di questi ha memorizzato le password in chiaro, il che è positivo. Molti hanno usato algoritmi di hashing deboli, tuttavia, che non sono così buoni.

MD5 e SHA1 possono essere violati con relativa facilità, e algoritmi ancora più complessi come SHA256 possono rivelarsi vulnerabili, specialmente se implementazione non è perfetta o se la password è debole. In teoria, le persone le cui password sono state sottoposte a hash con bcrypt dovrebbero essere sicure, ma anche i fornitori che hanno scelto algoritmo giusto stanno sollecitando gli utenti a cambiare le loro password.

Il prezzo dei dati personali venduti sul web oscuro

A volte, enormi quantità di informazioni personali possono essere trovate in un forum pubblico su Internet che può essere raggiunto tramite Google. Come puoi vedere, in altri casi, i dati sono venduti sul web scuro.

Non è esattamente costoso, però. Alcuni dei record in questi database contengono un sacco di informazioni personali, eppure, il prezzo medio di un singolo record è $ 0,00002. Pensa a questo la prossima volta che ti iscrivi a un nuovo servizio.

February 19, 2019

Lascia un Commento