Ponad 2 miliony klientów GateHub i EpicBot są ostrzegani o naruszeniu danych
Czy zastanawiałeś się kiedyś, w jaki sposób cyberprzestępca może zdobyć dane osobowe milionów niczego niepodejrzewających osób? Oto jak.
25 października anonimowy użytkownik na forum hakerskim udostępnił bazę danych z 2,2 milionami rekordów pełnych danych osobowych. Należy zaznaczyć, że nie jest to jeden z podziemnych rynków hostowanych w tak zwanej Dark Web. Forum, na którym zamieszczono dane, jest indeksowane przez Google i może być dostępne dla każdego. Plik nadal działa, nie jest chroniony hasłem, a osoba, która go przesłała, nie żąda za to żadnych pieniędzy.
Innymi słowy, przestępca, który chce uzyskać 2,2 miliona rekordów, może odpalić swoją ulubioną przeglądarkę internetową, wejść na wspomniane forum, dokonać rejestracji i kliknąć przycisk pobierania.
Niestety, to naprawdę jest tak proste i niewiele można na to poradzić. Możesz jednak zobaczyć, kim jest 2,2 miliona dotkniętych ludzi, ponieważ możesz być jednym z nich.
Table of Contents
Zaatakowano portfel kryptowalut i serwis botów do gier online
Dane zostały skradzione z dwóch całkowicie niezwiązanych ze sobą źródeł: portfela kryptowalut o nazwie GateHub i usługi bota RuneScape o nazwie EpicBot. Z 2,2 miliona rekordów, 1,4 miliona należy do użytkowników GateHub, a reszta została skradziona z EpicBot. Ekspert ds. Cyberbezpieczeństwa Troy Hunt dostał ujawnione dane i załadował je do swojej usługi powiadamiania o naruszeniu danych w programie Have I Been Pwned, co oznacza, że jeśli kiedykolwiek subskrybowałeś jedną z dwóch usług, możesz użyć swojego adresu e-mail, aby sprawdzić, czy zostały dotknięte. Ale co dokładnie zostało utracone?
Może się okazać, że naruszenie GateHub było znacznie bardziej znaczące niż oczekiwano
Fakt, że GateHub został naruszony, nie jest wiadomością. W czerwcu platforma kryptowalutowa poinformowała użytkowników, że padła ofiarą niezbyt dużego cyberataku. W ogłoszeniu podano, że po kradzieży bazy danych pełnej tokenów dostępu hakerowi udało się uzyskać nieautoryzowany dostęp do prawie 18 500 „zaszyfrowanych kont klientów”. Stamtąd atakujący mógł uzyskać tajne klucze nazwisk użytkowników, adresów e-mail, zaszyfrowanych haseł, zaszyfrowanych kluczy odzyskiwania i zaszyfrowanych portfeli księgi głównej XRP.
Firma obiecała, że będzie współpracować z organami ścigania i giełdami kryptowalut, aby zamrozić wszelkie środki, które mogły zostać skradzione podczas ataku i zwrócić je prawowitym właścicielom. Nie wiadomo, czy to zadziałało. Nie wiadomo również, czy ten sam incydent doprowadził do ujawnienia 1,4 miliona rekordów.
Osoba, która współużytkowała bazę danych, powiedziała, że część GateHub zawiera klucze uwierzytelniania dwuskładnikowego, frazy mnemoniczne i skróty portfela. GateHub powiedział Ars Technica, że nie zobaczył żadnych skrótów portfela na wysypisku i że nie są nawet pewni, czy dane są autentyczne. Niemniej jednak są przekonani, że „ponowne szyfrowanie” wszystkich kont GateHub, które miało miejsce w lipcu, sprawi, że wszystkie ataki będą bezużyteczne. Jedyne, o czym zapomnieli wspomnieć, to to, co rozumieli przez „ponowne szyfrowanie”.
EpicBot nie powie ani słowa
Potencjalne szkody spowodowane atakiem na EpicBot są znacznie mniej znaczące. Pomijając fakt, że dotyczy to mniej osób, charakter usługi EpicBot oznacza, że jest znacznie mniej błędów.
Biorąc to pod uwagę, odpowiedź dostawcy bota RuneScape nie jest wcale wzorowa. W rzeczywistości jest całkowicie nieobecny. Około 800 tysięcy użytkowników miało naruszone adresy e-mail, nazwy użytkowników i hasła, a mimo to EpicBot nie chce wydać choćby jednego oświadczenia dotyczącego tego, co się stało i czego ludzie powinni szukać. Nie w ten sposób i usługa online, bez względu na to, jak duża lub mała, powinna zachowywać się w wyniku naruszenia ochrony danych.
Ogólnie rzecz biorąc, szczegóły dotyczące dwóch incydentów włamania są nieco rzadkie, a jedyną srebrną podszewką jest to, że zarówno GateHub, jak i EpicBot haszują hasła użytkowników za pomocą bcrypt. To dobra wiadomość, ponieważ bcrypt jest powszechnie uważany za jeden z najsolidniejszych dostępnych algorytmów mieszających, a zwykle odwrócenie go jest praktycznie niemożliwe. To powiedziawszy, nieprawidłowa implementacja może go osłabić, co oznacza, że zmiana haseł EpicBot i GateHub, szczególnie jeśli usługa Troy Hunt mówi ci, że zostałeś dotknięty, może wcale nie być tak złym pomysłem. Niezwykle ważne jest również pamiętanie, co może się stać, jeśli reszta ujawnionych informacji wpadnie w niepowołane ręce.