Quidd-gebruikers worden gewaarschuwd dat 4 miljoen inloggegevens zijn gelekt op een ondergronds forum
Net als bij elk ander bedrijf, wordt de handel in gestolen gegevens beïnvloed door een aantal verschillende factoren. De supply chain bestaat uit veel verschillende mensen en iedereen heeft een specifieke rol. De aard van de data en de bron bepalen hoe hoog de vraag is en op basis daarvan wordt de vraagprijs gevormd. Een recent datalek ontdekt door RiskBased Security en gerapporteerd door ZDNet kan u een redelijk goed inzicht geven in hoe dingen werken.
Table of Contents
Quidd heeft een datalek opgelopen
De ontdekking werd gedaan op 12 maart toen onderzoekers van RiskBased Security een bericht op een hackforum zagen van een gebruiker met de bijnaam ProTag. ProTag bood een database aan met de e-mailadressen, gebruikersnamen en gehashte wachtwoorden van iets minder dan 4 miljoen gebruikers van een digitaal verzamelplatform genaamd Quidd.
Volgens het onderzoek van ZDNet is ProTag de hacker die de verdediging van Quidd daadwerkelijk heeft doorbroken en de gegevens in 2019 heeft gestolen. Het bericht van 12 maart was ongebruikelijk omdat normaal gesproken de hacker niet degene is die de gegevens verspreidt. Meestal is dit het werk van de zogenaamde handelaren die ook een deel van de winst krijgen wanneer beginnende cybercriminelen en fraudeurs besluiten om een aantal gestolen gebruikersnamen en wachtwoorden te gebruiken.
Een dergelijke handelaar vertelde ZDNet dat de Quidd-database werd verhandeld lang voordat ProTag deze op het hackforum plaatste. Blijkbaar veranderden de gegevens van eigenaar bij onderhandelde transacties. Of dit er iets mee te maken heeft, blijft onbekend, maar het bericht van ProTag bleef niet lang online. Kort nadat RiskBased Security het zag, werd het verwijderd.
Eind maart werd de advertentie opnieuw op hetzelfde forum geplaatst door een ander individu en sindsdien is de database meerdere keren gedeeld en opnieuw gedeeld. We moeten opmerken dat we het hebben over een publiek toegankelijk forum en we moeten er ook op wijzen dat de Quidd-accountgegevens gratis worden aangeboden, wat betekent dat iedereen met een internetverbinding zijn favoriete browser kan opstarten en deze kan downloaden. Maar zullen ze?
Een sterk hashing-algoritme maakt het leven van fraudeurs moeilijker
Een van de eerste dingen die we moeten leren in het geval van een wachtwoordlek, is hoe de inloggegevens zijn opgeslagen. Ondanks de talloze waarschuwingen maken sommige serviceproviders nog steeds eenvoudige fouten bij het opslaan van wachtwoorden, en als gevolg hiervan kunnen de mensen die inloggegevens op het dark web kopen, gemakkelijk een groot aantal accounts in gevaar brengen en hun oplichting via hen uitvoeren. Gelukkig is Quidd niet een van die providers.
De wachtwoorden zijn gehasht met bcrypt - een van de moeilijkst te kraken hashing-algoritmen. Het terugdraaien van bcrypt-hashes om wachtwoorden voor tekst te wissen is een extreem tijd- en bronintensief proces, en vaak besluiten cybercriminelen dat de inspanning het gewoon niet waard is. Maar in dit geval niet.
Zoals RiskBased Security opmerkte, handelen Quidd-gebruikers voor miljoenen dollars aan digitale verzamelobjecten, en blijkbaar zien de oplichters dit als een voldoende stimulans. Velen van hen hebben geprobeerd de hashes te kraken en het lijkt erop dat sommigen al zijn geslaagd. Een van de screenshots van ZDNet laat zien dat een hacker ongeveer 137 duizend Quidd-gebruikersnamen en wachtwoordparen in platte tekst aanbiedt, en volgens RiskBased Security beweert een andere handelaar meer dan 1 miljoen hashes te hebben gekraakt. Omdat ze de moeite hebben gedaan om de gegevens te hashen, zullen deze verkopers het natuurlijk niet gratis weggeven.
Quidd houdt zich nog steeds stil
Nu de gegevens zich in het publieke domein bevinden, kan Quidd niet veel doen om te voorkomen dat cybercriminelen ze onderling delen. Wel kan het haar gebruikers informeren over het incident en stappen ondernemen om de mogelijke gevolgen te verzachten. Om de een of andere reden lijkt het geen van deze dingen te doen.
Er is geen officiële verklaring van het platform en mogelijk getroffen gebruikers ontvangen geen meldingen. Zowel RiskBased Security als ZDNet hebben Quidd geschreven met verzoeken om commentaar, maar het platform heeft er de voorkeur aan gegeven niet te reageren. Gezien het feit dat sommige van de inloggegevens in platte tekst worden verhandeld, klinkt een geforceerde wachtwoordreset voor getroffen gebruikers als een goed telefoontje, maar Quidd heeft dat ook niet gedaan.
Zoals u kunt zien, is zelfs een goede wachtwoordopslag niet voldoende om vastberaden cybercriminelen soms te stoppen, wat betekent dat zich adequaat gedragen in de nasleep van een datalek nog belangrijker wordt voor getroffen serviceproviders. Helaas lijkt het erop dat de mensen die de leiding hebben over Quidd dat niet begrijpen.
