Daugiau nei 2 milijonai „GateHub“ ir „EpicBot“ klientų yra įspėti apie duomenų pažeidimą

GateHub and EpicBot Get Hacked

Ar kada susimąstėte, kaip kibernetinis nusikaltėlis gali susipainioti su milijonų nieko neįtariančių žmonių asmeniniais duomenimis? Štai kaip.

Spalio 25 dieną anoniminis vartotojas įsilaužimų forume pasidalino duomenų baze su 2,2 milijono įrašų, kuriuose pilna asmeninės informacijos. Turėtume pabrėžti, kad tai nėra viena iš pogrindinių prekyviečių, esančių vadinamajame „Dark Web“. Forumą, kuriame buvo paskelbti duomenys, indeksuoja „Google“ ir gali pasiekti bet kas. Failas vis dar yra, jis nėra apsaugotas slaptažodžiu, o jį įkėlęs asmuo už jį nereikalauja pinigų.

Kitaip tariant, nusikaltėlis, norintis gauti šiuos 2,2 milijono įrašų, gali suaktyvinti savo mėgstamą interneto naršyklę, apsilankyti minėtame forume, užsiregistruoti ir paspausti atsisiuntimo mygtuką.

Deja, tai tikrai taip paprasta, ir jūs nieko daug negalite padaryti. Tačiau ką jūs galite padaryti, tai pamatyti, kas yra 2,2 mln. Žmonių, nes jūs tiesiog galite būti vienas iš jų.

Kriptovaliutos piniginė ir internetinių žaidimų robotų paslauga buvo nulaužta

Duomenys buvo pavogti iš dviejų visiškai nesusijusių šaltinių: kriptovaliutos piniginės, vadinamos „GateHub“, ir „RuneScape“ robotų paslaugos, pavadintos „EpicBot“. Iš 2,2 milijono įrašų 1,4 milijono priklauso „GateHub“ vartotojams, o likę pavogti iš „EpicBot“. Kibernetinio saugumo ekspertas Troy Huntas susipainiojo su paviešintais duomenimis ir įkelė juos į „Ar aš buvau suplanuotas“ duomenų pažeidimų įspėjimo tarnybą, o tai reiškia, kad jei kada nors užsiprenumeravote vieną iš dviejų paslaugų, galite naudoti savo el. buvo paveikti. Bet kas buvo prarasta tiksliai?

Gali paaiškėti, kad „GateHub“ pažeidimas buvo daug reikšmingesnis, nei tikėtasi

Tai, kad buvo pažeisti „GateHub“, nėra naujiena. Birželio mėn. Kriptovaliutos platforma informavo vartotojus, kad į ją buvo nukreiptas ne itin didelis kibernetinis puolimas. Skelbime teigiama, kad pavogus duomenų bazę, kurioje pilna prieigos raktų, įsilaužėliui pavyko gauti nesankcionuotą prieigą prie vos 18 500 „užšifruotų klientų sąskaitų“. Iš ten užpuolikas galėjo gauti vartotojų vardus, el. Pašto adresus, maišyti slaptažodžius, maišyti atkūrimo raktus ir užšifruotus slaptus XRP knygelių piniginių raktus.

Kompanija pažadėjo, kad bendradarbiaus su teisėsaugos institucijomis ir kriptovaliutų biržomis, kad įšaldytų visas išpuolio metu pavogtas lėšas ir grąžintų jas teisėtiems savininkams. Ar kas nors iš to suveikė, nežinoma. Taip pat nežinoma, ar dėl to paties įvykio buvo paviešinta 1,4 milijono įrašų.

Asmuo, pasidalinęs duomenų baze, teigė, kad „GateHub“ dalyje yra dviejų faktorių autentifikavimo raktai, mnemoninės frazės ir piniginės maišos. „GateHub“ sakė „Ars Technica“, kad sąvartyne jie nematė jokios piniginės maišos ir kad jie net nėra tikri, ar duomenys yra autentiški. Nepaisant to, jie įsitikinę, kad liepos mėnesį įvykusio „GateHub“ paskyrų „pakartotinio šifravimo“ metu visos atakos taps nenaudingos.. Vienintelis dalykas, kurį jie pamiršo paminėti, yra tai, ką jie turėjo omenyje „pakartotinis šifravimas“.

„EpicBot“ nepasakys nė žodžio

Potenciali „EpicBot“ atakos žala yra daug mažesnė. „EpicBot“ paslaugos pobūdis reiškia, kad suklysti yra kur kas mažiau, be to, kad tai paveiktų mažiau žmonių.

Nepaisant to, „RuneScape“ robotų teikėjo atsakymas vargu ar pavyzdingas. Tiesą sakant, jo visiškai nėra. Maždaug 800 tūkstančių jos vartotojų el. Pašto adresai, naudotojo vardai ir maišyti slaptažodžiai buvo pažeisti, tačiau „EpicBot“ nenori paskelbti net nė vieno pareiškimo apie tai, kas nutiko ir ko žmonėms reikia ieškoti. Taip nėra, ir internetinė paslauga, nesvarbu, kokia didelė ar maža, turėtų elgtis pažeisdama duomenis.

Apskritai, informacija apie du įsilaužimo atvejus yra šiek tiek menka, ir vienintelis sidabrinis pamušalas yra tas, kad tiek „GateHub“, tiek „EpicBot“ naudotojų slaptažodžius išskleidė „bcrypt“. Tai gera žinia, nes „bcrypt“ plačiai laikomas vienu iš patikimiausių šiuo metu turimų maišos algoritmų, ir paprastai jo pakeisti praktiškai neįmanoma. Nepaisant to, neteisingas diegimas gali jį susilpninti, o tai reiškia, kad pakeitus „EpicBot“ ir „GateHub“ slaptažodžius, ypač jei „Troy Hunt“ tarnyba jums pasakys, kad esate paveikti, galų gale gali būti ne tokia bloga idėja. Taip pat labai svarbu nepamiršti, kas gali nutikti, jei likusi neatskleista informacija pateks į netinkamas rankas.

November 21, 2019

Palikti atsakymą

SVARBU! Kad galėtumėte tęsti, turite išspręsti šią paprastą matematiką.
Please leave these two fields as is:
Kas yra 7 + 2?