40 milionów rekordów użytkowników aplikacji Wishbone sprzedawanych jest online
Jak wspomnieliśmy wczoraj, cyberprzestępcy często próbują zarabiać na danych, które zostały złamane lata temu. Gdy Catalin Cimpanu, jeden z reporterów bezpieczeństwa ZDNet, znalazł na podziemnym forum reklamę sprzedającą informacje użytkownikom aplikacji Wishbone, prawdopodobnie pomyślał, że właśnie tak się dzieje.
Popularna aplikacja quizowa ucierpiała w 2016 roku, gdy hakerzy wyciekli do bazy danych zawierającej dane osobowe około 2,2 miliona użytkowników. W tym czasie cyberprzestępcy twierdzili, że ujawniają tylko niewielką część skradzionych informacji, i wyglądało na to, że nowa reklama może zawierać resztę szczegółów zebranych cztery lata temu. Po przejrzeniu próbki z nowo reklamowanej bazy danych Cimpanu zdał sobie jednak sprawę, że jest to zupełnie nowy hack.
Cyberprzestępca sprzedaje 40 milionów rekordów Wishbone za 8 tysięcy dolarów
Sprzedawca zwrócił uwagę, że baza danych została przejęta w 2020 r., A reporter ZDNet potwierdził to, sprawdzając znaczniki czasu i porównując przykładowe dane z kilkoma usługami powiadamiania o naruszeniach, co pokazało, że rzeczywiście jest całkiem nowy. Liczba dotkniętych osób wynosi około 40 milionów, a rekordy obejmują nazwiska, nazwy użytkowników, adresy e-mail, numery telefonów, lokalizacje geograficzne i hashowane hasła. Sprzedawca prosi o 0,85 bitcoinów lub około 8 tysięcy USD, co oznacza, że cena kont wynosi 0,0002 USD za sztukę.
Programiści Wishbone nie wydali jeszcze oficjalnego oświadczenia, ale ZDNet potwierdził, że dane są prawdziwe. Jest stosunkowo niedrogi i oferuje go doświadczony trader. Dochodzenie Catalin CImpanu ujawniło, że ten sam sprzedawca oferuje dziesiątki baz danych skradzionych wszelkiego rodzaju usługodawcom. W sumie reporter oszacował, że cyberprzestępca posiada aż 1,5 miliarda skradzionych akt.
Najprawdopodobniej sprzedawca nie będzie miał problemów ze zmianą bazy Wishbone, a podczas gdy on/ona liczy zyski, użytkownicy aplikacji muszą pomyśleć o potencjalnych konsekwencjach naruszenia.
W jaki sposób naruszenie danych Wishbone może wpłynąć na użytkowników?
Chociaż nie są w to zaangażowane żadne dane finansowe, istnieje wystarczająca ilość danych umożliwiających identyfikację, aby ułatwić wszelkiego rodzaju oszustwa. Dzięki danym kontaktowym hakerzy mogą łatwo skontaktować się z potencjalnymi celami, a reszta danych może pomóc im w złapaniu pułapki inżynierii społecznej, w którą ofiary prawdopodobnie wpadną. Biorąc pod uwagę fakt, że zdecydowana większość bazy użytkowników Wishbone składa się nastolatków, konsekwencje naruszenia ochrony danych są przerażające.
Można argumentować, że naruszenie nie powinno nastąpić, ale, jak powiedzieliśmy w przeszłości, żadna firma nie jest odporna na cyberataki. Faktem jest jednak, że chociaż Wishbone przeszedł już jeden incydent bezpieczeństwa, wydaje się, że jego programiści nie wyciągnęli lekcji.
W reklamie sprzedawca danych powiedział, że hasła zostały zaszyfrowane za pomocą SHA1. Jest to problem, ponieważ SHA1 nie jest najbardziej niezawodną funkcją skrótu i można ją odwrócić. Kiedy Catalin Cimpanu spojrzał na próbkę wyciekłych danych uwierzytelniających, zdał sobie jednak sprawę, że hasła zostały faktycznie zaszyfrowane za pomocą MD5 - algorytmu, który można złamać w kilka sekund za pomocą łatwo dostępnych narzędzi.
Zagrożenie dla kont użytkowników Wishbone jest bardzo realne, a jeśli dotknięci użytkownicy ponownie użyją tego samego hasła do wielu usług, szkody mogą być jeszcze większe.
