Hakerzy naruszają Mixcloud i sprzedają dane użytkowników online

Po naruszeniu usługi online lub witryny hakerzy zwykle próbują zarabiać na skradzionych danych, sprzedając je w ciemnej sieci lub na jednym z wielu forów hakerskich indeksowanych przez Google i łatwo dostępnych. Biorąc pod uwagę, jak cenne mogą być dane osobowe, często sprzedaż danych innym przestępcom nie stanowi większego wyzwania. Najwyraźniej jednak sfałszowane bazy danych są czasem trudniejsze do przeniesienia. Na przykład haker pod pseudonimem A_W_S prawdopodobnie miał trudności ze sprzedażą bazy danych, którą ukradł z usługi przesyłania strumieniowego Mixcloud, dlatego zdecydowali się ujawnić, chwaląc się atakiem na media.

W zeszłym tygodniu A_W_S skontaktował się z Zackiem Whittakerem z TechCrunch, Josephem Coxem z płyty głównej i Catalinem Cimpanu z ZDNet i powiedział im, że Mixcloud doznał naruszenia danych. A_W_S powiedział, że udało mu się sfałszować rekordy ogromnej liczby 21 milionów subskrybentów, a dane były na sprzedaż na ciemnym rynku internetowym.

A_W_S nie jest w rzeczywistości czymś nowym. Według reportera ZDNet współpracowali z innym cyberprzestępcą znanym jako Gnosticplayers, którego zamiłowanie do mediów stało się widoczne na początku tego roku po kilku stosunkowo głośnych atakach. Ale w jaki sposób naruszenie Mixcloud ma się do działań Gnosticplayers?

Nie najstraszniejsze naruszenie na świecie

Wszystkie trzy stroje informacyjne otrzymały próbki danych w celu potwierdzenia ich autentyczności. Reporterzy widzieli nazwy użytkowników, adresy e-mail i adresy IP, daty rejestracji kont oraz solone skróty haseł użytkowników w bazie danych. Skontaktowali się z niektórymi osobami, których dotyczy problem, i próbowali zarejestrować nowe konta Mixcloud za pomocą niektórych e-maili i potwierdzili, że informacje są rzeczywiście prawdziwe. Daty, w których dokonano niektórych rejestracji, sugerują, że atak został przeprowadzony zaledwie kilka tygodni temu. Tak więc dane są prawdziwe i najprawdopodobniej prawidłowe. Dobrze więc, że nie ma tego wiele.

Po dowiedzeniu się o naruszeniu, Mixcloud wskazał, że nie przechowuje żadnych danych karty kredytowej ani fizycznych adresów. Powiedział także, że większość jego użytkowników zarejestrowała się w usłudze za pomocą swoich kont na Facebooku, co samo w sobie ogranicza do pewnego stopnia ilość ujawnionych danych. Co ważniejsze, dostawca usług przesyłania strumieniowego powiedział, że skradzione hasła zostały solone i bezpiecznie zakodowane, co udało się potwierdzić serwisom informacyjnym. Mixcloud zastosował SHA-2 - algorytm mieszający, którego praktycznie niemożliwe jest odwrócenie.

W rezultacie oszustów, którzy płacą za bazę danych, tak naprawdę nie dostaną dużo za swoje pieniądze, i prawdopodobnie dlatego dane nie przyciągają tak dużej uwagi. Kiedy TechCrunch i płyta główna napisały o naruszeniu 29 listopada, A_W_S poprosił o 0,5 bitcoina lub 4000 $, ale zanim raport ZDNet ukazał się 1 grudnia, cena została obniżona do 0,27 bitcoina lub około 2000 $.

Nie najlepsza odpowiedź na świecie

Mixcloud najwyraźniej nic nie wiedział o naruszeniu przed pierwszym raportem w mediach. Około 24 godzin po ogłoszeniu wiadomości dostawca usług przesyłania strumieniowego wymyślił coś, co Zack Whittaker dość dokładnie opisał jako „oświadczenie korporacyjne”. Oprócz nieuniknionego stwierdzenia „traktujemy bezpieczeństwo bardzo poważnie”, post na blogu zawierał informacje na temat mechanizmów przechowywania haseł i stosunkowo ograniczonej ilości ujawnionych danych. Nie zawierało liczby osób, które ucierpiały w wyniku naruszenia, i nie mówiło nic o środkach ostrożności podjętych w celu lepszej ochrony ich w przyszłości. Decyzja o dołączeniu sekcji FAQ zawierającej tylko dwa pytania jest również dość dziwna, biorąc pod uwagę fakt, że rzekomo skradziono ponad 20 milionów rekordów.

Gdy reporterzy poprosili o dalsze komentarze, rzecznicy Mixclouda milczeli, co jest kolejnym dowodem na to, że dostawca usług przesyłania strumieniowego mógł być nieco bardziej przejrzysty w ujawnieniu. Możemy mieć tylko nadzieję, że inni dostawcy, którzy ucierpią w wyniku naruszenia danych, będą w stanie poradzić sobie z nimi nieco lepiej.