40 miljoner Wishbone App-användares poster säljs online

Som vi nämnde igår försöker cyberbrottslingar ofta att tjäna pengar på data som komprometterades för år sedan. När Catalin Cimpanu, en av ZDNets säkerhetsreporter, hittade en annons som säljer informationen från Wishbone-appanvändare på ett underjordiskt forum, trodde han förmodligen att det här är exakt vad som händer.

Den populära frågesportprogrammet drabbades av ett dataintrång 2016 då hackare läckte ut en databas som innehöll personliga uppgifter från cirka 2,2 miljoner användare. Vid den tiden hävdade cyberbrottslingarna att de bara släppte en liten del av den stulna informationen, och det såg ut som att den nya annonsen kunde innehålla resten av informationen som skickades för fyra år sedan. Efter att ha granskat ett prov från den nyligen annonserade databasen insåg Cimpanu emellertid att detta är ett helt nytt hack.

En cyberkriminell säljer 40 miljoner Wishbone-poster för 8 tusen dollar

Säljaren påpekade att databasen togs år 2020, och ZDNets reporter bekräftade detta genom att kontrollera tidsstämplarna och granska exempeldata mot ett par aviseringstjänster, vilket visade att det verkligen är ganska nyligen. Antalet drabbade individer ligger på cirka 40 miljoner, och posterna innehåller namn, användarnamn, e-postadresser, telefonnummer, geografiska platser och hash-lösenord. Säljaren ber om 0,85 bitcoins eller cirka 8 000 dollar, vilket innebär att kontona är prissatta till $ 0,0002 per styck.

Wishbones utvecklare har ännu inte kommit ut med ett officiellt uttalande, men ZDNet har bekräftat att uppgifterna är äkta. Det är relativt billigt, och det erbjuds av vad som verkar vara en erfaren handlare. Catalin CImpanus undersökning avslöjade att samma säljare erbjuder dussintals databaser som stulits från alla typer av tjänsteleverantörer. Totalt uppskattade reportern att cyberbrottslingen är i besittning av 1,5 miljarder stulna register.

Säljaren kommer troligtvis inte ha några problem med att flytta Wishbone-databasen, och medan han/hon räknar vinsterna måste appens användare tänka på de potentiella konsekvenserna av överträdelsen.

Hur kan Wishbones dataöverträdelse påverka användare?

Även om inga ekonomiska uppgifter är inblandade finns det tillräckligt med personlig identifierbar information för att underlätta alla typer av bedrägerier. Med kontaktinformationen kan hackarna enkelt komma i kontakt med potentiella mål, och resten av informationen kan hjälpa dem att skapa en social teknikfälla som offren troligen kommer att falla i. Med tanke på det faktum att den stora majoriteten av Wishbones användarbas består av tonårsflickor är konsekvenserna av datainbrottet skrämmande.

Du kan hävda att överträdelsen inte borde ha inträffat, men som vi tidigare har sagt är inget företag immunt mot att drabbas av cyberattacker. Faktum är dock att även om Wishbone redan har genomgått en säkerhetshändelse verkar dess utvecklare inte ha lärt sig sin lektion.

I annonsen sade dataens säljare att lösenorden var hashade med SHA1. Detta är ett problem eftersom SHA1 inte är den mest robusta hashfunktionen och kan vändas. När Catalin Cimpanu tittade på ett urval av de läckta referenser, insåg han emellertid att lösenorden faktiskt var hashade med MD5 - en algoritm som kan brytas på några sekunder med fritt tillgängliga verktyg.

Hotet mot människors Wishbone-konton är mycket verkligt, och om berörda användare återanvänder samma lösenord för flera tjänster kan skadorna bli ännu större.