4,000万件のWishboneアプリユーザーの記録がオンラインで販売されています
昨日述べたように、サイバー犯罪者は、何年も前に侵害されたデータからお金を稼ごうとすることがよくあります。 ZDNetのセキュリティレポーターの 1人であるCatalin CimpanuがアンダーグラウンドフォーラムでWishboneアプリのユーザーの情報を販売する広告を見つけたとき、彼はおそらくこれがまさに何が起こっているのかと考えました。
人気のあるクイズアプリケーションは、ハッカーが約220万人のユーザーの個人情報を含むデータベースを漏洩した2016年にデータ侵害に見舞われました。当時、サイバー犯罪者は盗んだ情報のほんの一部しか公開していないと主張しており、新しい広告には4年前に盗まれた残りの詳細が含まれているように見えました。しかし、新しく宣伝されたデータベースのサンプルを確認したところ、Cimpanuはこれがまったく新しいハックであることに気付きました。
サイバー犯罪者が4,000万のウィッシュボーンレコードを8,000ドルで販売している
売り手はデータベースが2020年に取得されたことを指摘し、ZDNetの記者はタイムスタンプを確認し、いくつかの違反通知サービスに対してサンプルデータを確認することでこれを確認しました。影響を受ける個人の数は約4,000万人で、記録には名前、ユーザー名、電子メールアドレス、電話番号、地理的な場所、およびハッシュ化されたパスワードが含まれます。売り手は0.85ビットコインまたは約8,000ドルを求めています。つまり、アカウントの価格は1枚あたり0.0002ドルです。
Wishboneの開発者はまだ公式声明を発表していませんが、ZDNetはデータが本物であることを確認しました。それは比較的安価であり、経験豊富なトレーダーのように見えるものによって提供されます。 Catalin CImpanuの調査により、同じ売り手があらゆる種類のサービスプロバイダーから盗んだ数十のデータベースを提供していることが明らかになりました。全体として、記者はサイバー犯罪者がなんと15億の盗まれた記録を持っていると推定しました。
ほとんどの場合、売り手はWishboneデータベースをシフトするのに問題はなく、彼/彼女は利益を数えている間、アプリのユーザーは違反の潜在的な結果について考えなければなりません。
Wishboneのデータ侵害はユーザーにどのように影響しますか?
財務データは含まれていませんが、あらゆる種類の詐欺を助長するのに十分な個人識別情報があります。連絡先の詳細により、ハッカーは潜在的なターゲットに簡単に連絡でき、残りのデータは、被害者が陥る可能性が高いソーシャルエンジニアリングの罠を引き起こすのに役立ちます。Wishboneのユーザーベースの大部分が10代の少女の場合、データ侵害の影響は恐ろしいものです。
侵害は発生してはならないと主張することもできますが、これまでに述べたように、サイバー攻撃の被害を受けない企業はありません。しかし、問題の事実は、Wishboneがすでに1つのセキュリティインシデントを経験しているにもかかわらず、その開発者は彼らの教訓を学んでいないようです。
広告では、データの売り手はパスワードがSHA1でハッシュされたと言った。 SHA1は最も堅牢なハッシュ関数ではなく、逆にすることができるため、これは問題です。しかし、Catalin Cimpanuが漏洩した認証情報のサンプルを調べたところ、パスワードは実際にはMD5でハッシュされていることに気付きました。これは、自由にアクセスできるツールを使用すると、数秒で解読できるアルゴリズムです。
人々のWishboneアカウントに対する脅威は非常に現実的であり、影響を受けるユーザーが同じパスワードを複数のサービスに再利用している場合、被害はさらに大きくなる可能性があります。