奇妙なユーザーは、400万件のログイン情報が地下のフォーラムで漏洩したと警告されています
他のビジネスと同様に、盗まれたデータの取引は、さまざまな要因の影響を受けます。多くの異なる人々がサプライチェーンを構成しており、誰もが特定の役割を担っています。データの性質とそのソースによって、需要の高さが決まり、それに基づいて希望価格が形成されます。 RiskBased Securityによって発見され、 ZDNetによって報告された最近のデータ侵害は、物事がどのように機能するかについてかなり良い洞察を与えてくれます。
Table of Contents
クィッドはデータ侵害を受けました
この発見は、RiskBased Securityの研究者がProTagというニックネームのユーザーからのハッキングフォーラムに投稿を見つけた3月12日に行われました。 ProTagは、Quiddと呼ばれるデジタル収集品取引プラットフォームの400万人弱のユーザーの電子メールアドレス、ユーザー名、ハッシュされたパスワードを含むデータベースを提供していました。
ZDNetの調査によると、ProTagは実際にQuiddの防御を突破し、2019年にデータを盗んだハッカーです。通常、ハッカーがデータを配布しているのはハッカーではないため、3月12日の投稿は珍しいものでした。通常、これはいわゆるトレーダーの仕事であり、新興のサイバー犯罪者や詐欺師が盗んだユーザー名やパスワードを利用することを決定したときにも利益を受け取ることができます。
そのようなトレーダーの1人はZDNetに、QuiddデータベースはProTagがハッキングフォーラムに投稿されるずっと前に取引されたと語りました。どうやら、データは私的に交渉されたトランザクションで手を変えていた。これが何かと関係があるかどうかは不明のままですが、ProTagの投稿はオンラインのままでした。 RiskBased Securityがそれを確認した直後に削除されました。
3月下旬、広告は別の個人によって同じフォーラムに再度投稿され、それ以来、データベースは何度も共有および再共有されています。公開されているフォーラムについて話していること、およびQuiddアカウントの詳細が無料で提供されていることにも注意してください。つまり、インターネットに接続している人なら誰でもお気に入りのブラウザを起動してダウンロードできます。しかし、彼らはでしょうか?
強力なハッシュアルゴリズムは、詐欺師の生活を困難にします
パスワードリークが発生した場合に最初に学習する必要があるのは、ログイン資格情報がどのように保存されたかです。数え切れないほどの警告にもかかわらず、一部のサービスプロバイダーは基本的なパスワードの保存ミスを犯し続けており、その結果、暗いWebでログインの詳細を購入する人々は、多数のアカウントを簡単に侵害し、それらを介して詐欺を行うことができます。幸いにも、クィッドはそれらのプロバイダーの1つではありません。
パスワードはbcryptでハッシュされました。これは、ハッシュアルゴリズムを解読するのが最も難しいものの1つです。 bcryptハッシュをクリアテキストのパスワードに戻すことは、非常に時間とリソースを大量に消費するプロセスであり、サイバー犯罪者は多くの場合、その取り組みに価値がないと判断します。ただし、この場合はそうではありません。
RiskBased Securityが指摘したように、Quiddのユーザーは数百万ドル相当のデジタルグッズを取引しており、明らかに詐欺師たちはこれを十分に大きなインセンティブだと考えています。それらの多くはハッシュをクラックしようとしました、そして、いくつかはすでに成功したようです。 ZDNetのスクリーンショットの1つは、ハッカーが約137千のQuiddユーザー名とパスワードのペアを平文で提供していることを示しています。RiskBasedSecurityによると、別のトレーダーは100万以上のハッシュをクラックしたと主張しています。もちろん、彼らはデータのハッシュ化を解除する問題を経験したので、これらの売り手は無料でそれを提供しません。
Quiddはまだ静かにしています
データがパブリックドメインにあるため、クィッド氏はサイバー犯罪者がデータを共有することを止めることはできません。ただし、インシデントについてユーザーに通知し、潜在的な結果を軽減するための措置を講じることができます。何らかの理由で、これらのどちらも実行していないようです。
プラットフォームからの公式声明はなく、影響を受ける可能性のあるユーザーには通知が届きません。 RiskBased SecurityとZDNetはどちらもコメントを求めてQuiddに書き込みましたが、プラットフォームは応答しないことを選択しました。ログイン資格情報の一部がプレーンテキストで取引されているという事実を考えると、影響を受けるユーザーに対して強制的にパスワードをリセットすることは良い電話のように聞こえますが、Quiddもそれをしていません。
ご覧のように、適切なパスワードの保存だけでは、決定的なサイバー犯罪者を阻止するのに十分ではない場合があります。つまり、影響を受けるサービスプロバイダーにとって、データ漏えい後の適切な行動はさらに重要になります。残念ながら、クイズの担当者はそれを理解していないようです。