Хакеры взламывают Mixcloud и продают данные пользователей онлайн

После взлома онлайн-службы или веб-сайта хакеры обычно пытаются монетизировать украденные данные, продавая их либо в темной сети, либо на одном из многочисленных хакерских форумов, которые индексируются Google и легко доступны. Учитывая, насколько ценной может быть личная информация, продажа данных другим преступникам не так уж и сложна. Очевидно, однако, что ворованные базы данных иногда сложнее перенести. Например, хакеру по прозвищу A_W_S, вероятно, было нелегко продать базу данных, которую он/она украл у потокового сервиса Mixcloud, поэтому они решили рассказать об этом, хвастаясь нападением на СМИ.

На прошлой неделе A_W_S связался с Заком Уиттакером из TechCrunch, Джозефом Коксом из Материнской платы и Каталином Чимпану из ZDNet и сообщил им, что Mixcloud подвергся утечке данных. A_W_S сказал, что он/она в одиночку сумел украсть записи колоссальных 21 миллиона подписчиков, и данные были выставлены на продажу на темном интернет-рынке.

A_W_S на самом деле не новичок в такого рода вещах. По словам репортера ZDNet, они работали вместе с другим киберпреступником, известным как Gnosticplayers, чья любовь к СМИ привлекла внимание в начале этого года после нескольких относительно громких атак. Но как нарушение Mixcloud складывается против действий гностиков?

Не самое ужасное нарушение в мире

Все три новостных агентства получили образцы данных, чтобы подтвердить их подлинность. Журналисты видели имена пользователей, адреса электронной почты и IP-адреса, даты регистрации учетных записей и соленые хеши паролей людей в базе данных. Они связались с некоторыми пострадавшими лицами и попытались зарегистрировать новые учетные записи Mixcloud в некоторых электронных письмах, и они подтвердили, что информация действительно подлинная. Даты, в которые были сделаны некоторые из регистраций, предположили, что нападение было осуществлено всего несколько недель назад. Итак, данные реальны, и, скорее всего, они действительны. Хорошо, что не так много всего.

Узнав о нарушении, Mixcloud указал, что не хранит данные кредитной карты или физические адреса. В нем также говорится, что большинство его пользователей зарегистрировались в службе, используя свои учетные записи Facebook, что само по себе ограничивает объем раскрываемых данных в определенной степени. Что еще более важно, поставщик услуг потоковой передачи сказал, что украденные пароли были засолены и надежно хешированы, что удалось подтвердить информационным агентствам. Mixcloud использовал SHA-2 - алгоритм хеширования, который практически невозможно изменить.

В результате мошенники, которые платят за базу данных, на самом деле не получат много за свои деньги, поэтому, вероятно, именно поэтому данные не привлекают такого большого внимания. Когда TechCrunch и Motherboard писали о взломе 29 ноября, A_W_S запрашивала 0,5 биткойна или 4000 долларов за него, но к тому времени, когда отчет ZDNet вышел 1 декабря, цена была снижена до 0,27 биткойна или около 2000 долларов.

Не самый лучший отклик в мире

Mixcloud, очевидно, ничего не знал о нарушении до первоначального сообщения в СМИ. Примерно через 24 часа после выхода новости поставщик услуг потоковой передачи предложил то, что Зак Уиттакер довольно точно назвал «стандартным корпоративным заявлением». В дополнение к неизбежному заявлению «мы очень серьезно относимся к безопасности», сообщение в блоге содержало информацию о механизмах хранения паролей и об относительно ограниченном объеме данных, которые были раскрыты. В нем не указывалось количество людей, пострадавших от нарушения, и ничего не говорилось о мерах предосторожности, принятых для лучшей защиты их в будущем. Решение включить раздел часто задаваемых вопросов, в котором есть только два вопроса, также довольно странно, учитывая тот факт, что более 20 миллионов записей были украдены.

Когда журналисты попросили дать дополнительные комментарии, представители Mixcloud хранили молчание, что является еще одним доказательством того, что поставщик услуг потоковой передачи мог бы быть немного более прозрачным в своем раскрытии. Мы можем только надеяться, что другие поставщики, которые страдают от утечки данных, смогут справиться с ними немного лучше.