Jedna z amerykańskich firm (z ukraińskimi korzeniami) zajmujących się bezpieczeństwem komputerowym odkryła prawdopodobnie największy w historii zbiór wykradzionych. Mowa tu o kilku/kilkunastu latach zbierania danych w postaci loginów, haseł i adresów e-mail. W wyniku ataków przeprowadzonych na ponad 420 tysiące serwisów internetowych rosyjscy przestępcy mieli pozyskać ponad 4,5 miliarda rekordów. Aż 1,2 miliarda to dane unikatowe. Ale danych tych, nie zobaczymy… Dlaczego? O tym poniżej.
CyberVor zapewne ma także któreś z twoich haseł
Operacja przestępców została zdemaskowana przez firmę Hold Security, której przypisuje się także odkrycie zeszłorocznego, spektakularnego wycieku ponad 150 milionów haseł użytkowników Adobe (w tym hasła Edwarda Snowdena). Tym razem badacze namierzyli rosyjski gang, któremu nadano nazwę “CyberVor”.
Alex Holden
Według właściciela firmy, Aleksa Holdena atak ten nie wygląda na wspierany przez rosyjski rząd, który niekiedy darzy swoich hackerów ponadnormalną opieką.
W jaki sposób CyberVor wykradał dane?
Członkowie CyberVoru zaczynali swą przestępczą działalność od pozyskiwania skradzionych przez inne grupy baz z danymi logowania do wielu serwisów. Logowali się następnie na konta ofiar i wykorzystywali je m.in. do rozsyłania spamu. Chodzi tutaj także o portale społecznościowe i celowe umieszczanie złośliwych przekierowań.
Pół roku temu zmienili taktykę i za pośrednictwem jednego z podziemnych marketów uzyskali dostęp do botnetu, który wyszukiwał typowe podatności SQL na publicznych stronach internetowych. W ten sposób, atakujący odkryli ponad 400 tysięcy podatnych serwisów. Dzięki nim zgromadzili ponad 4,5 miliarda rekordów (zawierających loginy, hasła i adresy e-mail. Po ich filtracji okazało się, że tylko ponad 1,2 miliarda rekordów to dane unikatowe (typu: login,hasło). Jeśli chodzi o liczbę unikatowych e-maili, Rosjanie posiadali ich 500 milionów — a więc to potencjalnie tyle jest ofiar. To całkiem sporo…
Liczba ta robi wrażenie, ale skoro dane pochodzą z ataków SQL injection, należy zakładać, że większość z hackowanych serwisów to zapewne mocno przestarzałe. Albo np. są to zapomniane skrypty (np. fora) — a zatem część ze zdobytych loginów i haseł może być mocno bezwartościowa.
Kto jest ofiarą?
Rosjanie nie wybrzydzali i atakowali wszystkich jak leci. Wśród zhackowanych serwisów są zarówno serwisy rosyjskojęzyczne, jak i zagraniczne. Z dużym prawdopodobieństwem można założyć, że także polskie — chociaż dowodów na tę tezę na razie brak.
Hold Security nie ujawnia listy serwisów-ofiar — chce na niej zarabiać. Zapewniają, że będą kontaktować się z firmami, które padły ofiarą rosyjskiego gangu i proponować im swoją “pomoc” w analizie. Jeśli ktoś jest niecierpliwy, może już teraz zapłacić 120 dolarów miesięcznie za “monitoring kradzieży tożsamości”, czyli usługę, która najwyraźniej jest powodem ujawnienia ww. informacji. Takie podejście do dzielenia się rewelacjami związanymi z przestępcami zostało mocno skrytykowane przez innych “bezpieczników”.
Mam login i hasło, co robić?
Jeśli nurtuje cię pytanie, czy Rosjanie mają twoje dane, możesz to sprawdzić poprzez specjalny formularz udostępniony przez badaczy — holdsecurity.com/ — o ile będzie działał, my mieliśmy z nim problemy.
Tu oczywiście każdemu powinna zapalić się czerwona lampeczka — czy rzeczywiście można zaufać badaczom i wprowadzić na ich stornie swoje poufne dane? Co się z nimi stanie? (por. sprawdź, czy nie wyciekł twój numer karty płatniczej). Dlaczego firma nie prosi o wpisanie samego adresu e-mail? Dlaczego nie opublikuje listy wszystkich haseł bez e-maili?
My co prawda STANOWCZO odradzamy wpisywanie swoich haseł gdziekolwiek. Oczywiście poza serwisami dla których zostały one wygenerowane. W ten sposób zwiększacie ryzyko ich wycieku — oprócz oryginalnego serwisu i ewentualnie Rosjan, teraz mogą je także poznać badacze i wszyscy, którzy badaczy zhakują w przyszłosci.
Trzeba jednak zaznaczyć, że firma Holden starała się dość profesjonalnie podejść do tematu “sprawdzenia, czy nie zostałem zhackowany”. Wpisywane w formularz dane mają być hashowane funkcją SHA-512. Dopiero w tej postaci porównywane z przejętymi przez Holdena rosyjskimi bazami. Wciąż jednak uważamy, że Holden mógł udostępnić chociażby same hasła w czystym tekście (jakiż byłby to świetny słownik!). Lepsze rozwiązanie niż lansowanie się w mediach tuż przed BlackHatem przy pomocy trochę “rozdmuchanych”. Dane były zbierane przez długi okres czasu, nie pochodzą z jednego włamania i niepewnych wiadomości – nie wiemy jak istotne serwisy są w bazie.
Znów wyciekło moje hasło, co robić, jak żyć?
Niestety ostatnio coraz częściej słyszymy o kolejnych wyciekach haseł, czy też adresów e-mail. Na to, że Wasze hasła wyciekają nie zawsze macie wpływ — często winę ponoszą administratorzy danej usługi. Dlatego też jeszcze raz apelujemy o to, abyście sami maksymalnie zadbali o swoje bezpieczeństwo. Stosujcie unikatowe hasła — czyli inne hasło do każdego serwisu. Ponieważ zapamiętanie tak wielu haseł jest niemożliwe, korzystajcie ze sprawdzonych programów do ich przechowywania, np. KeePass.
Dodatkowo warto także zorientować się, czy serwis w którym posiadamy konto nie udostępnia tzw. dwuskładnikowego uwierzytelnienia, będącego skuteczną ochroną przed skutkami kradzieży haseł. Pełną listę stron wspierających to rozwiązanie znajdziecie tutaj.
źródło :https://niebezpiecznik.pl/post/rosyjscy-hackerzy-wykradli-12-miliarda-loginow-i-hasel/
Redaktorka Net Complex Blog