Een hacker die bekend staat als 'Sanix' is gepind voor 773 miljoen gestolen gebruikersnamen en wachtwoorden
Het is duidelijk dat sommige cybercriminelen denken dat verstoppen achter een bijnaam voldoende is om wetshandhaving voor de gek te houden en gerechtigheid te omzeilen. Zoals een persoon die bekend staat als 'Sanix' je kan vertellen, werkt deze strategie echter niet altijd.
Gisteren maakte de Veiligheidsdienst van Oekraïne (SBU) bekend dat een jonge man die in de regio Ivano-Frankivsk in het Oost-Europese land woonde, zich verschuilde achter de naam Sanix. Nadat hij hem had vastgehouden, doorzocht de SBU het huis van Sanix en vond veel belastend bewijs. Het is nog veel te vroeg om te zeggen hoe de zaken zich zullen ontvouwen, maar het lijkt erop dat de jonge hacker in een wereld van moeilijkheden zit. Laten we eens kijken hoe hij in die situatie terechtkwam.
Table of Contents
Sanix and the Collection # 1 database
Sanix groeide begin 2019 tot schande, toen hij op een van de ondergrondse forums ging en aankondigde dat hij wat destijds werd beschreven als een 'megabreach' verkoopt. De database die hij probeerde te verschuiven, heette Collectie # 1 en het zag er behoorlijk eng uit.
Met maar liefst 2,7 miljard rijen was het de grootste datadump die Troy Hunt, de maker van HaveIBeenPwned, ooit had gezien en het trok onvermijdelijk de aandacht van de reguliere media. Bij nader onderzoek bleek echter dat de gegevensdump niet zo slecht was als in eerste instantie.
Ten eerste vond Troy Hunt veel duplicaten en rommel in de Collection # 1-database, en nadat hij deze had gewist, kreeg hij 773 miljoen unieke e-mailadressen en ongeveer 21 miljoen blootgestelde wachtwoorden. Het was niet bepaald klein, maar vergeleken met de eerste schattingen zag het er veel minder gruwelijk uit. Later onthulde Brian Krebs de oorsprong van de gegevens en werd duidelijk wat Sanix eigenlijk probeerde te verkopen.
De gegevens in de Collection # 1-database zijn verzameld uit talloze oude inbreuken
Sanix heeft geen van de gebruikersnamen en wachtwoorden in de Collection # 1-database gestolen. In plaats daarvan waren de gegevens uitgelekt tijdens een aantal verschillende inbreuken en waren ze eenvoudig georganiseerd in één enorme database. Het onderzoek van Brian Krebs kon de exacte bronnen van de inloggegevens niet identificeren, maar hij was er redelijk zeker van dat de aangetaste informatie vrij oud was. Met andere woorden, Sanix probeerde referenties te verschuiven die waarschijnlijk ongeldig waren.
Brian Krebs was niet de enige die de handelspraktijken van de hacker onthulde. Volgens Recorded Future heeft Sanix niet eens de Collection # 1-database gemaakt. Blijkbaar staat de persoon die verantwoordelijk is voor het samenvoegen van al die gegevens bekend als C0rpz. C0rpz verkocht het aan Sanix, die het vervolgens probeerde door te verkopen. Daarvoor werd Sanix verbannen uit het underground forum en besloot C0rpz de gegevens gratis te delen.
Sanix speelde een rol bij heel wat cybercriminele operaties
Collectie # 1 was verre van de enige database die Sanix probeerde te verkopen. SBU-agenten ontdekten blijkbaar bewijs dat de hacker een behoorlijk actieve handelaar van gecompromitteerde gegevens was. Op zijn computer vonden ze bijna een terabyte aan gestolen informatie, waaronder inloggegevens voor e-mail en PayPal, portefeuilles voor cryptocurrency, pincodes, bankpassen en informatie waarmee hackers DDoS-aanvallen konden uitvoeren. Sanix had verschillende inkomstenbronnen, en misschien niet verrassend, vonden wetshandhavers ook ongeveer $ 10.000 in contanten bij hem thuis.
Hopelijk krijgt Sanix wat hij verdient en zal hij in de toekomst proberen aan de goede kant van de wet te blijven. Helaas wist de SBU van Oekraïne een relatief kleine vis te vangen die niet zoveel schade heeft aangericht. De grotere cybercriminelen zijn meestal veel voorzichtiger en helaas is het veel moeilijker om ze vast te pakken.
