1 miljarder lösenord och e-postadresser har läckts ut. Vad betyder det?
Du hör cybersäkerhetsspecialister prata om referensstoppning hela tiden, men har du någonsin tänkt på den rena logistiken att dra av en sådan attack? Credential stuffing (eller lösenordsstoppning, som det ibland hänvisas till) innebär att man tar användarnamn och lösenordkombinationer läckt vid en onlinetjänst och försöker dem mot flera andra. Eftersom människor använder samma inloggningsuppgifter på olika plattformar kan ett enda användarnamn och lösenordspar öppna många konton. Teorin är tillräckligt enkel, men några av er kanske redan har upptäckt ett par problem.
För det första är hela överklagandet av referensstoppning att det påverkar många människor på en gång. Om hackare måste ange varje användarnamn och lösenordspart manuellt och vänta på att meddelandet "Inloggning framgångsrik" ska visas kommer attacken inte att vara särskilt effektiv. Det är därför de använder speciella skript och botnät för att göra det mesta av arbetet för dem. All denna automatisering är dock helt meningslös, men om brottslingarna inte har en stor mängd läckta referenser till att börja med. Att få dem är vid första anblicken det större problemet.
Naturligtvis kan skurkarna alltid gå till en mörk webbmarknad eller till ett hackforum och skicka ut några bitcoins i utbyte mot stulna användarnamn och lösenord. Det visar sig dock ibland, allt de behöver göra är att använda en sökmotor.
1,5 TB e-postadresser och lösenord kvar i en oskyddad ElasticSearch-databas
Bob Diachenko, en cybersäkerhetsekspert som har varit ansvarig för upptäckten och avslöjandet av många massiva dataläckage, gjorde just det - han använde en sökmotor. Den 4 december hittade han en Elasticsearch-databas som inte var skyddad av någon form av autentisering med hjälp av BinaryEdge - en internetscanningstjänst. I den fanns ett antal 2,7 miljarder poster med en vikt på 1,5 TB. Alla poster hade e-postadresser, och cirka 1 miljard av dem innehöll också klartextlösenord, vilket gjorde databasen perfekt för alla som försökte starta en storskalig referensstoppattack.
I själva verket kan detta vara anledningen till att uppgifterna i första hand exponerades. Efter att ha upptäckt det delade Diachenko sina resultat med forskare från Comparitech som tittade närmare på och sa att någon lägger till fler och fler poster till Elasticsearch-installationen, eventuellt för att förbereda en upplysningskampanj. Forskarna kunde inte ta reda på vem som ägde databasen, men de informerade ISP som var värd för den, och den 9 december togs den ner. BinaryEdge indexerade först först den 1 december, vilket innebär att inloggningsuppgifterna förblev exponerade i över en vecka. Under den perioden kunde vem som helst ha laddat ner och använt dem för alla slags skadliga aktiviteter.
De flesta referenser kommer från "The Big Asian Leak"
I januari 2017 beskrev en cyberkriminalitet som skickades med smeknamnet DoubleFlag, datadumpningen på nära 1 miljard konton som han försökte sälja som "The Big Asian Leak". Enligt Comparitechs experter placerades denna dumpning i den oskyddade Elasticsearch-databasen som Diachenko hittade i början av månaden.
De allra flesta användarnamn och lösenord staldes från populära kinesiska onlinetjänster, och de tillhör människor i Östasien, därav namnet. Som HackRead rapporterade vid den tiden, ville DoubleFlag lite över $ 600 för inloggningsuppgifterna. Mindre än tre år senare var de tillgängliga för alla som hade en internetuppkoppling och visste var de skulle titta. Detta visar hur snabbt data skrivs av när de har stulits.
På den ljusa sidan är användarnamn och lösenord nu ganska gamla, vilket innebär att åtminstone några av dem inte längre är giltiga. Det är dock en sak som gör att denna data läcker lägre än andra liknande händelser. Människor i Fjärran Östern har ofta problem med att förstå och skriva latinska tecken, varför de ofta använder sina telefonnummer som användarnamn när de skapar sina e-postkonton. Tack vare detta ledde den oskyddade databasen till att många telefonnummer exponerades, vilket i sig kan orsaka en hel del skador.
Även om ditt telefonnummer inte ingår i din e-postadress, och även om du inte påverkas av den här dataläckan, bör exponeringen återigen visa dig vilken typ av risk du kör genom att använda samma lösenord över flera konton.
