Wyciekło 1 miliard haseł i adresów e-mail. Co to znaczy?
Słyszysz, że specjaliści od cyberbezpieczeństwa cały czas mówią o zapełnianiu danych uwierzytelniających, ale czy kiedykolwiek myślałeś o czystej logistyce przeprowadzenia takiego ataku? Wypełnianie poświadczeń (lub upychanie haseł, jak to się czasem nazywa) oznacza pobieranie kombinacji nazwy użytkownika i hasła wyciekających do jednej usługi online i wypróbowywanie ich przeciwko wielu innym. Ponieważ ludzie używają tych samych danych logowania na różnych platformach, jedna para nazwy użytkownika i hasła może otworzyć wiele kont. Teoria jest dość prosta, ale niektórzy z was mogli już zauważyć kilka problemów.
Po pierwsze, cały urok wypychania poświadczeń polega na tym, że wpływa to na wiele osób jednocześnie. Jeśli hakerzy muszą ręcznie wprowadzić każdą parę nazwy użytkownika i hasła i czekać na pojawienie się komunikatu „Logowanie powiodło się”, atak nie będzie szczególnie skuteczny. Dlatego używają specjalnych skryptów i botnetów, aby wykonać dla nich większość pracy. Cała ta automatyzacja jest jednak całkowicie bezcelowa, jeśli przestępcy nie mają na początku dużej liczby ujawnionych danych uwierzytelniających. Zdobycie ich jest na pierwszy rzut oka większym problemem.
Oczywiście, oszuści mogą zawsze wejść na ciemny rynek internetowy lub forum hakerskie i wyrzucać bitcoiny w zamian za skradzione nazwy użytkowników i hasła. Jak się jednak okazuje, czasem wystarczy jedynie skorzystać z wyszukiwarki.
Pozostało 1,5 TB adresów e-mail i haseł w niezabezpieczonej bazie danych ElasticSearch
Bob Diachenko, ekspert ds. Cyberbezpieczeństwa, odpowiedzialny za wykrywanie i ujawnianie wielu masowych wycieków danych, właśnie to zrobił - użył wyszukiwarki. 4 grudnia znalazł bazę danych Elasticsearch, która nie była chroniona żadną formą uwierzytelnienia za pomocą BinaryEdge - usługi skanowania internetowego. Było w nim aż 2,7 miliarda płyt o wadze 1,5 TB. Wszystkie rekordy miały adresy e-mail, a około 1 miliarda z nich zawierało również hasła w postaci zwykłego tekstu, co czyniło bazę danych idealną dla każdego, kto próbuje przeprowadzić atak na dużą skalę.
W rzeczywistości może to być powód, dla którego dane ostatecznie zostały ujawnione. Po odkryciu tego Diachenko podzielił się swoimi odkryciami z naukowcami z Comparitech, którzy przyjrzeli się bliżej i powiedzieli, że ktoś dodaje coraz więcej rekordów do instalacji Elasticsearch, być może przygotowując się do kampanii upychania referencji. Badacze nie mogli dowiedzieć się, kto jest właścicielem bazy danych, ale poinformowali o tym ISP, który ją hostował, i 9 grudnia została usunięta. BinaryEdge po raz pierwszy zaindeksował je 1 grudnia, co oznacza, że dane logowania były widoczne przez ponad tydzień. W tym czasie każdy mógł je pobrać i wykorzystać do wszelkiego rodzaju złośliwych działań.
Większość referencji pochodzi z „The Big Asian Leak”
W styczniu 2017 r. Cyberprzestępca pod pseudonimem DoubleFlag opisał zrzut danych blisko 1 miliarda kont, które próbował sprzedać, jako „The Big Asian Leak”. Według ekspertów firmy Comparitech zrzut ten został umieszczony w niechronionej bazie danych Elasticsearch Diachenko znalezionej na początku miesiąca.
Zdecydowana większość nazw użytkowników i haseł została skradziona z popularnych chińskich usług internetowych i należą one do ludzi w Azji Wschodniej, stąd nazwa. Jak informował wówczas HackRead, DoubleFlag chciał nieco ponad 600 USD na dane logowania. Niecałe trzy lata później były dostępne dla każdego, kto miał połączenie internetowe i wiedział, gdzie szukać. To pokazuje, jak szybko dane tracą na wartości po ich kradzieży.
Z drugiej strony nazwy użytkowników i hasła są teraz dość stare, co oznacza, że przynajmniej niektóre z nich są już nieaktualne. Jest jednak jedna rzecz, która sprawia, że ten konkretny wyciek danych jest bardziej przerażający niż inne podobne zdarzenia. Ludzie na Dalekim Wschodzie często mają problemy ze zrozumieniem i pisaniem znaków łacińskich, dlatego często używają swoich numerów telefonów jako nazw użytkowników podczas tworzenia kont e-mail. Dzięki temu niezabezpieczona baza danych doprowadziła do ujawnienia całkiem wielu numerów telefonów, co samo w sobie może spowodować całkiem spore szkody.
Nawet jeśli Twój numer telefonu nie jest podany w adresie e-mail, a nawet jeśli nie dotyczy Ciebie ten wyciek danych, ujawnienie powinno po raz kolejny pokazać, na jakie ryzyko narażasz się, wykorzystując te same hasła na wielu konta
