40 miljoen Wishbone App-gebruikersrecords worden online verkocht

Wishbone Data Breach

Zoals we gisteren al zeiden, proberen cybercriminelen vaak geld te verdienen met gegevens die jaren geleden zijn aangetast. Toen Catalin Cimpanu, een van de beveiligingsverslaggevers van ZDNet, een advertentie vond die de informatie van Wishbone-appgebruikers verkocht op een ondergronds forum, dacht hij waarschijnlijk dat dit precies is wat er gebeurt.

De populaire quiz-applicatie liep in 2016 een datalek op toen hackers een database lekten met de persoonlijke informatie van ongeveer 2,2 miljoen gebruikers. Destijds beweerden de cybercriminelen dat ze slechts een klein deel van de gestolen informatie vrijgeven, en het leek erop dat de nieuwe advertentie de rest van de details zou bevatten die vier jaar geleden waren achterhaald. Na het bekijken van een voorbeeld uit de nieuw geadverteerde database, realiseerde Cimpanu zich echter dat dit een geheel nieuwe hack is.

Een cybercrimineel verkoopt 40 miljoen Wishbone-records voor $ 8 duizend

De verkoper wees er wel op dat de database in 2020 werd genomen, en de verslaggever van ZDNet bevestigde dit door de tijdstempels te controleren en de voorbeeldgegevens te vergelijken met een aantal inbreukmeldingsdiensten, waaruit bleek dat deze inderdaad vrij recent is. Het aantal getroffen personen bedraagt ongeveer 40 miljoen en de records bevatten namen, gebruikersnamen, e-mailadressen, telefoonnummers, geografische locaties en gehashte wachtwoorden. De verkoper vraagt om 0,85 bitcoins of ongeveer $ 8 duizend, wat betekent dat de accounts $ 0,0002 per stuk kosten.

De ontwikkelaars van Wishbone moeten nog met een officiële verklaring komen, maar ZDNet heeft bevestigd dat de gegevens echt zijn. Het is relatief goedkoop en wordt aangeboden door wat een ervaren handelaar lijkt te zijn. Uit het onderzoek van Catalin CImpanu bleek dat dezelfde verkoper tientallen databases aanbiedt die zijn gestolen van allerlei soorten serviceproviders. In totaal schatte de verslaggever dat de cybercrimineel in het bezit is van maar liefst 1,5 miljard gestolen records.

Hoogstwaarschijnlijk heeft de verkoper geen problemen met het verschuiven van de Wishbone-database en terwijl hij/zij de winst telt, moeten de gebruikers van de app nadenken over de mogelijke gevolgen van de inbreuk.

Hoe kan het datalek van Wishbone van invloed zijn op gebruikers?

Hoewel het geen financiële gegevens betreft, is er voldoende persoonlijk identificeerbare informatie om allerlei soorten oplichting mogelijk te maken. Met de contactgegevens kunnen de hackers gemakkelijk in contact komen met potentiële doelwitten en de rest van de gegevens kan hen helpen een social engineering-val te maken waar de slachtoffers waarschijnlijk in zullen vallen. Gezien het feit dat de overgrote meerderheid van Wishbone's gebruikersbasis bestaat van tienermeisjes zijn de gevolgen van het datalek angstaanjagend.

Je zou kunnen stellen dat de inbreuk niet had mogen plaatsvinden, maar zoals we in het verleden hebben gezegd, is geen enkel bedrijf immuun voor aanvallen door cyberaanvallen. Het feit is echter dat, hoewel Wishbone al een beveiligingsincident heeft doorgemaakt, de ontwikkelaars hun les niet lijken te hebben geleerd.

In de advertentie zei de verkoper van de gegevens dat de wachtwoorden waren gehasht met SHA1. Dit is een probleem omdat SHA1 niet de meest robuuste hashfunctie is en kan worden teruggedraaid. Toen Catalin Cimpanu een voorbeeld van de gelekte inloggegevens bekeek, realiseerde hij zich dat de wachtwoorden daadwerkelijk waren gehasht met MD5 - een algoritme dat binnen enkele seconden kan worden verbroken met gratis toegankelijke tools.

De bedreiging voor Wishbone-accounts van mensen is zeer reëel en als getroffen gebruikers dezelfde wachtwoorden voor meerdere services hergebruiken, kan de schade nog groter zijn.

May 21, 2020

Laat een antwoord achter