„Quidd“ vartotojams perspėjama, kad požeminiame forume buvo nutekinta 4 milijonai prisijungimo duomenų
Kaip ir bet kuriam kitam verslui, prekybai pavogtais duomenimis turi įtakos daugybė skirtingų veiksnių. Tiekimo grandinę sudaro daugybė skirtingų žmonių, ir kiekvienas turi specifinį vaidmenį. Duomenų pobūdis ir jų šaltinis lemia, kokia yra paklausa, ir, remiantis ja, formuojama prašoma kaina. Neseniai duomenų pažeidimas, kurį atrado „RiskBased Security“ ir apie kurį pranešė „ZDNet“, gali suteikti jums gana gerą įžvalgą apie tai, kaip viskas veikia.
Table of Contents
„Quidd“ patyrė duomenų pažeidimą
Šis atradimas buvo padarytas kovo 12 d., Kai „RiskBased Security“ tyrėjai pastebėjo įsilaužimo forume įrašytą įrašą iš vartotojo, pravarde ProTag. „ProTag“ pasiūlė duomenų bazę, kurioje yra vos mažiau nei 4 milijonai skaitmeninės kolekcinių daiktų prekybos platformos, vadinamos „Quidd“, el. Pašto adresų, naudotojų vardų ir slaptažodžių.
Remiantis „ZDNet“ tyrimu, „ProTag“ yra įsilaužėlis, kuris iš tikrųjų įsilaužė į „Quidd“ gynybą ir pavogė duomenis dar 2019 m. Kovo 12-osios įrašas buvo neįprastas, nes paprastai įsilaužėlis nėra tas, kuris platina duomenis aplink. Paprastai tai yra vadinamųjų prekybininkų, kurie taip pat gauna dalį pelno, kai jaunieji nusikaltėliai ir sukčiai nusprendžia pavogti kai kuriuos pavogtus vartotojo vardus ir slaptažodžius, darbas.
Vienas toks prekybininkas sakė „ZDNet“, kad „Quidd“ duomenų baze buvo prekiaujama dar ilgai, kol „ProTag“ paskelbė ją įsilaužimų forume. Matyt, keičiantis privačių sutarčių duomenims, pasikeitė duomenys. Ar tai turi nieko bendra, kol kas nežinoma, tačiau „ProTag“ įrašas ilgai nebuvo tinkle. Netrukus po to, kai „RiskBased Security“ pamatė, jis buvo ištrintas.
Kovo pabaigoje skelbimas tame pačiame forume vėl buvo paskelbtas kito asmens, nuo tada duomenų bazė buvo dalijamasi ir dalijamasi daugybę kartų. Turėtume atkreipti dėmesį, kad kalbame apie viešai prieinamą forumą, taip pat turėtume atkreipti dėmesį, kad „Quidd“ paskyros duomenys yra siūlomi nemokamai, o tai reiškia, kad visi, turintys interneto ryšį, gali suaktyvinti savo mėgstamą naršyklę ir ją atsisiųsti. Bet ar jie bus?
Stiprus maišos algoritmas apsunkina sukčių gyvenimą
Vienas iš pirmųjų dalykų, kuriuos turime išmokti nutekėjus slaptažodžiams, yra tai, kaip buvo saugomi prisijungimo duomenys. Nepaisant nesuskaičiuojamų įspėjimų, kai kurie paslaugų teikėjai ir toliau daro pagrindines slaptažodžių saugojimo klaidas, todėl žmonės, perkantys prisijungimo duomenis tamsiame žiniatinklyje, gali lengvai sukompromituoti daugybę paskyrų ir per jas atlikti sukčiavimo atvejus. Laimei, „Quidd“ nėra vienas iš tų teikėjų.
Slaptažodžiai buvo maišyti naudojant bcrypt - vieną iš sudėtingiausių nulaužimo maišos algoritmų. „Bcrypt“ maišos grąžinimas į teksto slaptažodžių išvalymą yra labai daug laiko ir išteklių reikalaujantis procesas, ir dažnai elektroniniai nusikaltėliai nusprendžia, kad pastangų tiesiog neverta. Tačiau ne šiuo atveju.
Kaip pažymėjo „RiskBased Security“, „Quidd“ vartotojai prekiauja milijonų dolerių vertės skaitmeniniais kolekcionuojamais daiktais ir, matyt, sukčiai tai mato kaip pakankamai didelę paskatą. Daugelis jų bandė nulaužti maišus, ir panašu, kad kai kuriems tai jau pavyko. Viename iš „ZDNet“ ekrano vaizdų matyti, kad įsilaužėlis siūlo apie 137 tūkstančius „Quidd“ vartotojo vardų ir slaptažodžių porų paprastuoju tekstu, o „RiskBased Security“ duomenimis, kitas prekybininkas teigia nulaužęs daugiau nei 1 milijoną maišų. Žinoma, kadangi pardavėjams kilo problemų panaikinti duomenų kaupimą, šie pardavėjai jų nemokamai neišduos.
Kvididas vis dar tyli
Dabar, kai duomenys yra vieši, „Quidd“ negali padaryti daug, kad elektroniniai nusikaltėliai negalėtų jais dalintis tarpusavyje. Tačiau ji gali informuoti savo vartotojus apie įvykį ir imtis priemonių sušvelninti galimas pasekmes. Dėl tam tikrų priežasčių neatrodo, kad darytumėt nė vieno iš šių dalykų.
Nėra oficialaus platformos pareiškimo, o potencialiai paveikti vartotojai negauna jokių pranešimų. Tiek „RiskBased Security“, tiek „ZDNet“ rašė „Quidd“ su prašymais komentuoti, tačiau platforma pasirinko nereaguoti. Atsižvelgiant į tai, kad kai kuriais prisijungimo duomenimis prekiaujama paprastuoju tekstu, priverstinis slaptažodžio iš naujo nustatymas paveiktiems vartotojams skamba kaip geras skambutis, tačiau to nepadarė ir „Quidd“.
Kaip matote, net ir tinkamo slaptažodžio saugojimo nepakanka, kad kartais sustabdytumėte ryžtingus elektroninius nusikaltėlius, o tai reiškia, kad tinkamai elgtis po duomenų pažeidimo tampa dar svarbiau paveiktiems paslaugų teikėjams. Deja, atrodo, kad žmonės, atsakingi už „Quidd“, to nesupranta.
