Hackere bryter Mixcloud og selger brukernes data online
Etter at de bryter en online tjeneste eller et nettsted, prøver hackere vanligvis å tjene penger på dataene de har stjålet ved å selge dem enten på det mørke nettet eller på et av de mange hackeforumene som er indeksert av Google og er lett tilgjengelige. Gitt hvor verdifull personlig informasjon ofte er, å selge dataene til andre kriminelle er ikke så mye av en utfordring. Tilsynelatende er det imidlertid vanskeligere å flytte databasene med pilferde. En hacker som ga kallenavnet A_W_S, for eksempel, hadde sannsynligvis vanskelig for å selge en database han/hun hadde stjålet fra streamingtjenesten Mixcloud, og det er grunnen til at de bestemte seg for å få ordet ut ved å skryte av angrepet til media.
I forrige uke kom A_W_S i kontakt med Zack Whittaker fra TechCrunch, Joseph Cox fra Hovedkort og Catalin Cimpanu fra ZDNet og fortalte dem at Mixcloud hadde fått et datainnbrudd. A_W_S sa at han/hun på egenhånd hadde klart å hente postene til hele 21 millioner abonnenter, og dataene var til salgs på en mørk markedsplass.
A_W_S er faktisk ikke ny med denne typen ting. I følge ZDNets reporter jobbet de sammen med en annen nettkriminell kjent som Gnosticplayers, hvis kjærlighet til mediaoppmerksomhet ble tydelig tidligere i år etter noen relativt høyprofilerte angrep. Men hvordan stabler Mixcloud-bruddet opp mot Gnosticplayers 'aktiviteter?
Ikke verdens mest forferdelige brudd
Alle tre nyhetsantrekkene mottok prøver av dataene for å bekrefte ektheten. Reporterne så brukernavn, e-post og IP-adresser, datoer for kontoregistrering og saltet hasj av folks passord i databasen. De kom i kontakt med noen av de berørte personene og prøvde å registrere nye Mixcloud-kontoer med noen av e-postene, og de bekreftet at informasjonen virkelig er ekte. Datoene for noen av registreringene ble antydet at angrepet ble trukket av for bare noen uker siden. Så dataene er reelle, og de er sannsynligvis gyldige. Det er bra at det ikke er så mye av det.
Etter at den fikk vite om bruddet, påpekte Mixcloud at det ikke lagrer noen kredittkortinformasjon eller fysiske adresser. Den sa også at de fleste av brukerne har meldt seg på tjenesten ved å bruke sine Facebook-kontoer, noe som i seg selv begrenser mengden utsatte data til en viss grad. Enda viktigere er det at strømmetjenesteleverandøren sa at de stjålne passordene er blitt saltet og hashet sikkert, noe nyhetsutsalgene klarte å bekrefte. Mixcloud brukte SHA-2 - en hashingsalgoritme som er praktisk talt umulig å reversere.
Som et resultat vil ikke skurkene som betaler for databasen få en hel del for pengene sine, noe som sannsynligvis er grunnen til at dataene ikke tiltrekker så mye oppmerksomhet. Da TechCrunch og hovedkort skrev om bruddet 29. november, ba A_W_S 0,5 bitcoin eller 4 000 dollar for det, men da ZDNets rapport kom ut 1. desember, hadde prisen blitt redusert til 0,27 bitcoin eller rundt 2000 dollar.
Ikke den beste responsen i verden
Mixcloud visste tilsynelatende ingenting om bruddet før den første rapporten i media. Rundt 24 timer etter at nyhetene brøt, kom strømmetjenesteleverandøren opp med det Zack Whittaker ganske nøyaktig beskrev som "et selskapets uttalelse om kjeleplaten". I tillegg til den uunngåelige uttalelsen "vi tar sikkerhet veldig alvorlig", inneholdt blogginnlegget informasjon om passordlagringsmekanismer og om den relativt begrensede mengden data som ble eksponert. Det inneholdt ikke antall mennesker som ble rammet av bruddet, og det sa ingenting om forholdsreglene som ble tatt for å bedre beskytte dem i fremtiden. Avgjørelsen om å inkludere en FAQ-seksjon som bare har to spørsmål er også ganske underlig med tanke på det faktum at mer enn 20 millioner poster angivelig er blitt stjålet.
Da reporterne ba om ytterligere kommentarer, forble talspersonene fra Mixcloud stille, noe som er enda et bevis på at strømmetjenesteleverandøren kunne ha vært litt mer gjennomsiktig i avsløringen. Vi kan bare håpe at andre leverandører som lider av datainnbrudd vil kunne håndtere dem litt bedre.
