40 millioner Wishbone-app-brukernes poster selges online

Som vi nevnte i går, prøver nettkriminelle ofte å tjene penger på data som ble kompromittert for mange år siden. Når Catalin Cimpanu, en av ZDNet sikkerhets journalister, fant en annonse selge informasjon om Wishbone app brukere på en underjordisk forum, han sannsynligvis trodde at dette er akkurat hva som skjer.

Den populære quiz-applikasjonen fikk et datainnbrudd tilbake i 2016 da hackere lekket en database som inneholder den personlige informasjonen til rundt 2,2 millioner brukere. Den gangen hevdet nettkriminellene at de bare ga ut en liten del av den stjålne informasjonen, og det så ut som den nye annonsen kunne inneholde resten av detaljene som ble hentet for fire år siden. Etter å ha gjennomgått en prøve fra den nylig annonserte databasen, skjønte Cimpanu imidlertid at dette er et helt nytt hack.

En nettkriminell selger 40 millioner Wishbone-plater for 8 000 dollar

Selgeren påpekte at databasen ble tatt i 2020, og ZDNets reporter bekreftet dette ved å sjekke tidsstemplene og gjennomgå eksempeldataene mot et par varslingstjenester for brudd, som viste at det faktisk er ganske nylig. Antall berørte individer ligger på rundt 40 millioner, og postene inkluderer navn, brukernavn, e-postadresser, telefonnumre, geografiske lokasjoner og hashede passord. Selgeren ber om 0,85 bitcoins eller rundt 8 000 dollar, noe som betyr at regnskapet er priset til $ 0,0002 stykk.

Wishbones utviklere har ennå ikke kommet med en offisiell uttalelse, men ZDNet har bekreftet at dataene er ekte. Det er relativt billig, og det tilbys av det som ser ut til å være en erfaren handelsmann. Catalin CImpanus undersøkelse avdekket at den samme selgeren tilbyr dusinvis av databaser stjålet fra alle slags tjenesteleverandører. Totalt estimerte reporteren at nettkriminellen er i besittelse av hele 1,5 milliarder stjålne poster.

Mest sannsynlig vil selgeren ikke ha noen problemer med å skifte Wishbone-databasen, og mens han/hun teller overskuddet, må appens brukere tenke på de potensielle konsekvensene av bruddet.

Hvordan kan dataovertredelse av Wishbone påvirke brukerne?

Selv om ingen økonomiske data er involvert, er det nok personlig identifiserbar informasjon til å lette alle slags svindel. Med kontaktinformasjonen kan hackerne lett komme i kontakt med potensielle mål, og resten av dataene kan hjelpe dem med å få en sosial ingeniørfelle som ofrene sannsynligvis vil falle i. Tatt i betraktning at det store flertallet av Wishbones brukerbase består av tenåringsjenter er konsekvensene av datainnbruddet skremmende.

Du kan hevde at bruddet ikke burde ha skjedd, men som vi har sagt tidligere, er ikke noe selskap immun mot å bli rammet av cyberattacks. Faktum er imidlertid at selv om Wishbone allerede har vært gjennom en sikkerhetshendelse, ser det ikke ut til at utviklerne har lært leksjonen sin.

I annonsen sa dataens selger at passordene var hashet med SHA1. Dette er et problem fordi SHA1 ikke er den mest robuste hasjfunksjonen og kan reverseres. Da Catalin Cimpanu så på et utvalg av de lekkasjeopplysningene, innså han imidlertid at passordene faktisk var hashet med MD5 - en algoritme som kan brytes på sekunder med fritt tilgjengelige verktøy.

Trusselen mot folks Wishbone-kontoer er veldig reell, og hvis berørte brukere gjenbruker de samme passordene for flere tjenester, kan skadene bli enda mer betydelige.