Пользователи Quidd предупреждены, что на подпольном форуме просочились данные о 4 миллионах пользователей
Как и в любом другом бизнесе, на торговлю украденными данными влияет целый ряд различных факторов. Много разных людей составляют цепочку поставок, и у каждого своя роль. Характер данных и их источник определяют, насколько высок спрос, и на его основе формируется запрашиваемая цена. Недавнее нарушение данных, обнаруженное RiskBased Security и сообщенное ZDNet, может дать вам довольно хорошее представление о том, как все работает.
Table of Contents
Квидд перенес нарушение данных
Это открытие было сделано 12 марта, когда исследователи из RiskBased Security обнаружили на хакерском форуме сообщение от пользователя по прозвищу ProTag. ProTag предлагал базу данных, содержащую адреса электронной почты, имена пользователей и хэшированные пароли чуть менее 4 миллионов пользователей цифровой торговой платформы для коллекционирования под названием Quidd.
Согласно исследованию ZDNet, ProTag - это хакер, который фактически прорвался через защиту Quidd и украл данные еще в 2019 году. Пост 12 марта был необычным, потому что обычно хакер не распространяет данные вокруг. Обычно это работа так называемых трейдеров, которые также получают долю прибыли всякий раз, когда начинающие киберпреступники и мошенники решают раскошелиться на некоторые украденные имена пользователей и пароли.
Один из таких трейдеров рассказал ZDNet, что база данных Quidd была продана задолго до того, как ProTag разместил ее на хакерском форуме. Судя по всему, данные переходили из рук в руки в сделках по частным сделкам. Остается неизвестным, имеет ли это какое-либо отношение к этому, но пост ProTag недолго оставался в сети. Вскоре после того, как RiskBased Security увидел его, он был удален.
В конце марта объявление было снова опубликовано на том же форуме другим человеком, и с тех пор база данных была опубликована и обновлена несколько раз. Следует отметить, что речь идет об общедоступном форуме, а также следует отметить, что данные учетной записи Quidd предоставляются бесплатно, а это означает, что любой, у кого есть подключение к Интернету, может запустить свой любимый браузер и загрузить их. Но будут ли они?
Сильный алгоритм хеширования усложняет жизнь мошенникам
Одной из первых вещей, которые нам необходимо изучить в случае утечки пароля, является способ хранения учетных данных для входа. Несмотря на бесчисленные предупреждения, некоторые поставщики услуг продолжают совершать базовые ошибки хранения паролей, и в результате люди, которые покупают данные для входа в систему в темной сети, могут легко скомпрометировать большое количество учетных записей и могут проводить с ними мошенничество. К счастью, Quidd не является одним из тех провайдеров.
Пароли были хешированы с помощью bcrypt - одного из самых сложных алгоритмов хеширования. Возвращение хэшей bcrypt к открытым текстовым паролям - это чрезвычайно трудоемкий и ресурсоемкий процесс, и часто киберпреступники решают, что эти усилия просто не стоят того. Но не в этом случае.
Как отмечает RiskBased Security, пользователи Quidd торгуют цифровыми предметами коллекционирования на миллионы долларов, и, очевидно, мошенники видят в этом достаточно большой стимул. Многие из них пытались взломать хеш, и похоже, что некоторые уже преуспели. Один из скриншотов ZDNet показывает, что хакер предлагает около 137 тысяч пар имен пользователей и паролей в квидде в виде открытого текста, и, согласно RiskBased Security, другой трейдер утверждает, что взломал более 1 миллиона хешей. Конечно, поскольку они пережили проблему дешифрования данных, эти продавцы не будут раздавать их бесплатно.
Квидд все еще молчит
Теперь, когда данные находятся в свободном доступе, Quidd не может многое сделать, чтобы запретить киберпреступникам делиться ими между собой. Однако он может информировать своих пользователей об инциденте и предпринимать шаги для смягчения возможных последствий. По какой-то причине, похоже, ничего из этого не делается.
Официальных заявлений от платформы нет, и потенциально затронутые пользователи не получают никаких уведомлений. И RiskBased Security, и ZDNet написали Quidd запросы с комментариями, но платформа предпочла не отвечать. Учитывая тот факт, что некоторые учетные данные для входа в систему торгуются в виде открытого текста, принудительный сброс пароля для затронутых пользователей звучит как хороший вызов, но Quidd этого тоже не сделал.
Как видите, даже надлежащего хранения паролей недостаточно, чтобы иногда останавливать определенных киберпреступников, а это значит, что адекватное поведение после взлома данных становится еще более важным для затронутых поставщиков услуг. К сожалению, похоже, что люди, отвечающие за Quidd, не понимают этого.
