18.12.2017 12:35
1cloud 30 33000 Источник
В декабре компания 4iq, занимающаяся предотвращением нелегального использования персональных данных и несанкционированного доступа к пользовательским аккаунтам, обнаружила файл с БД на 1,4 млрд украденных «учеток». Находка стала возможной благодаря сканированию даркнета и дипвеба на предмет подобных «сливов», которыми могут воспользоваться злоумышленники.

Это «самая объемная» база данных такого рода на сегодняшний день. В этой статье мы поговорим об особенностях найденной базы, вспомним похожие утечки пользовательских данных и расскажем о том, что делать в ситуации, если вы «нашли себя» в такой БД.


/ Flickr / Magnus D / CC

Самая «удобная» база чужой информации


При анализе базы выяснилось, что в основном она содержит пользовательские учетные данные, украденные в 252 отдельных случаях. Они пересекаются с содержимым других банков, например, Anti Public Combo List, который хранит более 500 млн паролей. По оценкам экспертов, только 14% аккаунтов в новой базе можно называть оригинальными — эти пары имен пользователей и паролей не были расшифрованы ранее.

То, что отличает находку от других, — это формат, который представляет собой не обычный список, а интерактивную базу данных. Она позволяет без труда находить и использовать содержимое — упрощает подбор и показывает закономерности пользовательских предпочтений в выборе того или иного пароля.

С помощью такой БД злоумышленникам не составит труда автоматизировать процесс кражи персональных данных. С другой стороны, полнота базы, «удобная» организация данных и навигация открывает доступ к нелегальной деятельности даже для не самых опытных киберпреступников.

Другие крупные утечки последних лет


В 2016 году количество инцидентов, связанных с кражей персональных данных, выросло на 40% по сравнению с 2015-м. В течение 12 месяцев произошло сразу несколько масштабных «сливов».

В мае 2016 года (спустя 8 лет после предположительного взлома MySpace) 360 млн «доступов» к учетным записям были выставлены на продажу. То же самое произошло со 164 млн адресов электронной почты и паролей социальной сети LinkedIn — сведения были украдены в 2012 году, но появились на «черном рынке» только 4 года спустя.

По тому же сценарию была обнародована база из 100 млн «учеток» пользователей VK. Известный специалист по ИБ Трой Хант (Troy Hunt) считает, что нет очевидной причины, почему злоумышленники удерживают украденные данные годами, а после пытаются продать, — все зависит от их личных мотивов.

Еще один «запоздалый лот» — база данных адресов почт и паролей 57 млн пользователей сервиса для знакомств Badoo. Она оказалась на рынке в мае 2016 года, но взлом предположительно произошел в 2015-м.

Закончился год одними из самых крупных утечек в истории — Anti Public и Expoit.in. В совокупности они пополнили общую базу более чем миллиардом «доступов» к аккаунтам пользователей. Оба списка содержали несколько разных паролей одних и тех же пользователей в различных онлайн-системах, что упрощало доступ к ценной информации за счет анализа подходов к составлению паролей потенциальной «жертвы».

Итоги этого года еще предстоит подвести, но уже сейчас можно вспомнить громкие «сливы» 2017-го.

В марте этого года у группы спамеров, работающих от имени River City Media, случайно «утекли» данные 1,34 млрд получателей «маркетинговых» рассылок. Это произошло из-за неудачной настройки процесса резервного копирования. В базе нашлись email'ы, IP- и даже домашние и рабочие адреса получателей.

В середине 2017 года в интернете был обнаружен список персональных данных более чем 105 млн человек. Он носил название «B2B USA Businesses» и содержал адреса электронной почты работодателей с информацией о вакансиях, а также рабочие номера телефонов и физические адреса.

В августе был обнаружен каталог, содержащий результаты работы спам-бота Onliner Spambot. Он отправлял вредоносное ПО на уязвимые компьютеры под видом официальных документов или подтверждений бронирования из гостиниц, а затем крал пароли, данные кредитных карт и другую личную информацию. Всего было украдено более 710 млн учетных данных.

Позже стало известно об утечке, которую называют «худшей» с точки зрения значимости украденных сведений. Хакеры обладали доступом к базе Equifax, одного из трех крупнейших кредитных агентств США, с середины мая по июль, и «слили» данные 143 млн клиентов, в том числе номера социального страхования и водительских удостоверений.

Осенью подтвердились худшие опасения о громком сливе данных пользователей Yahoo. Verizon, которая приобрела компанию, подсчитала, что похищенные «учетки» имели отношение к 3 млрд аккаунтов в Tumblr, Fantasy и Flickr.


/ Flickr / Angie Harms / CC

Что делать, если вы «нашли себя»


Попасть в число людей, чьи данные были украдены и проданы, не так сложно, если счет «слитых» аккаунтов идет уже на миллиарды. Чтобы обезопасить себя, для начала нужно понимать, как злоумышленники могут воспользоваться вашими персональными данными.

Стоимость украденных ПД может измеряться в миллиардах. В первую очередь ценность представляют собой доступы к финансовым инструментам (например, к сервису онлайн-банкинга).

Такая информация используется для покупок в онлайн-магазинах и перепродажи другим пользователям в даркнете. Люди часто устанавливают одни и те же пароли для разных аккаунтов, поэтому пароль от учетной записи на одном сайте может открывать доступ к более ценной для злоумышленников информации, располагающейся уже на другой площадке.

Чтобы обезопасить свои личные данные, нужно:


1. Отслеживать утечки

Существует открытая база данных Data Breach, которая позволяет узнать о том, какие организации допустили «слив» данных. Упомянутый выше Трой Хант поддерживает работу аналогичного сервиса под названием «Have i been pwned?». Он помогает узнать (по адресу электронной почты), не был ли скомпрометирован ваш аккаунт на том или ином ресурсе, и получать уведомления о крупных утечках. Эта информация позволяет своевременно реагировать и менять пароли от соответствующих аккаунтов.

2. Не пренебрегать очевидными советами по безопасности

Из 1,4 млрд украденных аккаунтов в новой базе данных наиболее распространенным паролем оказался «123456». Это лишний раз подтверждает, что пользователи игнорируют элементарные правила безопасности. Они выбирают простые комбинации и используют их сразу для нескольких ресурсов. Устанавливать и хранить сложные пароли помогают специализированные приложения и сервисы.

Если сервис предлагает двухфакторную аутентификацию, ей стоит воспользоваться. Помимо этого, перед размещением конфиденциальных сведений в облаке, важно убедиться, что сервис обеспечивает высокий уровень безопасности: шифрование, двухфакторную аутентификацию, управление политиками доступа, регулярные проверки и другие меры (немного о том, как мы работаем над обеспечением безопасности данных клиентов IaaS-провайдера 1cloud — материал на Хабре и еще один в нашем корпоративном блоге).

3. Знать, как действовать в случае утечки ПД

В том случае, если под угрозой оказались ваши финансовые инструменты, следует немедленно связаться с банком или иной организацией и уведомить специалистов о возможных проблемах.

Не лишним также будет обратиться в кредитные организации, чтобы узнать, не пытались ли злоумышленники взять кредит на ваше имя. В России такой организацией выступает Национальное бюро кредитных историй. Оно позволяет проверить всю необходимую информацию. С подозрениями и фактами о краже ПД следует обращаться в правоохранительные органы. Заявление в будущем сыграет роль доказательства в возможных судебных спорах.

Важно помнить, что фрагмент «нейтральной» информации, например, адрес электронной почты без пароля, может использоваться для доступа к финансовым инструментам. Злоумышленники применяют нетехнические средства атаки, такие как методы социальной инженерии, то есть выясняют недостающие сведения в ходе контакта с «жертвой». Поэтому выяснив, что ваши ПД были «слиты», важно не терять бдительность и обращать внимание на все звонки и письма. В этот момент базовые рекомендации вроде «не сообщать паролей сотрудникам банка по телефону» важны как никогда.

4. Изучать материалы по теме (небольшой тематический дайджест)

  • Разработчик решений для предотвращения потери данных DigitalGuardian собрал более 100 простых, но важных советов по защите персональной информации. Особую ценность представляют цитаты и полезные инструменты от таких порталов, как PrivacyRights, и таких компаний, как Лаборатория Касперского.

  • В этой статье специалисты по безопасности компании Tripwire, разрабатывающей продукты для защиты данных, дают рекомендации по выбору паролей. Основные советы касаются регулярной смены паролей и выбора символов и фраз для них. Эти правила могут показаться банальными, но, возвращаясь к находке 4iq, мы видим, что не все применяют на практике очевидные способы защиты.

  • Другая компания в сфере безопасности — HeimdalSecurity — попросила 19 экспертов рассказать о трех главных мерах защиты на их взгляд. Комментариями поделились сотрудники Eset, SecurityWatch, CSIS и других компаний.

  • Здесь описан процесс тестирования защищённости инфраструктуры провайдера. Этот пример демонстрирует, как ПД клиентов могут быть украдены из-за уязвимости системы безопасности обслуживающей компании. Еще один пример, но уже об уязвимости банка. В статье описано несколько сценариев взлома.

  • А здесь рассказывается история о том, как работает социальная инженерия на практике. Фейковый аккаунт в Facebook и ложная форма ввода пароля — все, что требуется для получения доступа к профилям в социальных сетях и почте.

  • Еще один инструмент от Троя Ханта — Pwned Passwords. Он открывает доступ к миллионам «слитых» паролей. Их можно считать непригодными для использования, так как хакеры уже смогли их похитить, а, значит, ими смогут воспользоваться злоумышленники.

  • Шифрование данных фигурирует во многих советах от специалистов по безопасности. Здесь можно найти подборку соответствующих инструментов.

  • Для лучшего погружения в вопрос можно обратиться к ресурсам, описывающим то, как мыслят и действуют хакеры. Пользователи Quora рекомендуют лучшие, по их мнению, материалы на эту тему. Существуют и книги по так называемому этичному хакингу. Они также помогают защитить себя посредством практического анализа уязвимых мест и понимания соответствующих методов обхода систем безопасности.

P.S. Еще больше полезных материалов по теме в нашем корпоративном блоге:


Комментарии (30)


  1. mediaman
    18.12.2017 15:49
    #10573208

    Забил свою почту в haveibeenpwned, оказалось, что почта засветилась в одном из недавних сливов. Не уверен, что 2fa поможет, если кто-то очень сильно захочет поломать, но в том числе и пароль все-таки пойду сменю


    1. mozg1986
      18.12.2017 18:42
      #10573622

      Тоже оказалась засвечена почта. Знать бы еще какой именно пароль был скомпрометирован, а я уже не помню, мог он повторяться он на других ресурсах или нет.


      1. barbadian
        19.12.2017 15:18
        #10575312

        На том же ресурсе есть возможность проверки пароля haveibeenpwned.com/Passwords


      1. AdamPirson
        19.12.2017 15:18
        #10575314

        Есть такая фича.
        «If you write us an email to verification@4iq.com with subject line: 'Password Exposure Check' we will respond with the truncated list of found passwords for that email.»
        Присылает пароли типа ******abc по вашему адресу почты.
        На мой адрес нашлись три пароля, два из которых были когда то в использовании.
        К счастью актуальные пароли вроде бы еще не засветились)


  1. leremin
    18.12.2017 17:55
    #10573540

    Забил свою почту, которой лет 10, на которой сотни аккаунтов — в сливе не замечен.


  1. Lord_Ahriman
    18.12.2017 19:24
    #10573694

    Недавно (пару недель как) на основную почту начал приходить спам, где меня величали тем самым именем и ником, которые были у меня ВК в 2010-2011 (или 2012, не помню точно уже). Сразу возникло подозрение о том, что сперли старую базу. Вбил почту в базу на сайте — и точно, засвечена в утечке данных у ВК.


  1. Bal
    18.12.2017 19:41
    #10573744

    Выкачал эту базу несколько дней назад. Нашёл там свои устаревшие пароли от Badoo, LinkedIn, MySpace, Вконтакте и LostFilm.TV. Нашёл старый, но ещё актуальный на многих ресурсах пароль жены. Сделал онлайн-проверялку для знакомых — себя там нашли около половины, наверное. Почти все устаревшие, но некоторые и с действующими попали… В общем, нужно чаще менять пароли и держать их разными в разных ресурсах :)


    1. mxms
      18.12.2017 22:45
      #10574044
      +1

      Ссылочку скиньте пожалуйста


      1. lexfrei
        19.12.2017 03:10
        #10574262

        Дискоеймер: Линк не мой, сам не выкачивал и не проверял
        magnet:?xt=urn:btih:7ffbcd8cee06aba2ce6561688cf68ce2addca0a3&dn=BreachCompilation


        1. lasc
          19.12.2017 05:15
          #10574282

          Правильный и поиск там есть.


        1. mxms
          19.12.2017 17:57
          #10575754

          Благодарю вас, друзья!


        1. system22
          21.12.2017 14:40
          #10579864

          Скачал, проверил. Нашел пару ящиков со старыми паролями. НО на haveibeenpwned.com нашлись еще несколько ящиков которых нет в этой базе!
          Получается базы отличаются. Если есть ссылка на более полную, скиньте пожалуйста.


  1. SerJook
    18.12.2017 21:25
    #10573888

    Мой аккаунт скомпрометирован на 10 сайтах. Тьфу-тьфу-тьфу, пока ничего не взломали.


  1. nachit
    18.12.2017 23:45
    #10574122

    Свои аккаунты тоже нашёл, но судя по паролю увели лет 10 назад, если не больше. И ещё странно, с моей почтой 4 записи, 2 пароля из них совсем старые, а два я точно никогда не использовал.


    1. Frankenstine
      19.12.2017 14:04
      #10575044

      два я точно никогда не использовал

      Это могут быть коллизии.


      1. nachit
        19.12.2017 14:14
        #10575096

        Судя по тому что эти "левые' пароли очень простые, кажется что эти данные введены искусственно, например чтобы раздуть объем базы. Мотив, например, такой — чем больше база, тем дороже её можно продать…


  1. nachit
    18.12.2017 23:50
    #10574128

    Цитата: "… нет очевидной причины, почему злоумышленники удерживают украденные данные годами, а после пытаются продать, — все зависит от их личных мотивов."


    По-моему, очень даже есть причина: вначале выжали что могли сами из базы, например попробовали увести другие данные и аккаунты, связанные с украденными, поспешили от их имени и т. д., а потом уже продали.


    1. nachit
      18.12.2017 23:51
      #10574132

      Прошу прощения, поспешили = поспамили.


  1. shuhray
    19.12.2017 04:29
    #10574270

    Запускаю под Windows7 — окно с результатами открывается на долю секунды. Что сделать, чтобы оно не закрывалось сразу?


    1. devalone
      19.12.2017 15:47
      #10575400

      Не знаю о чём ты, но возможно ты запускаешь какое-то консольное приложение, которое сразу закрывает своё окно. Если так, то открой cmd.exe (win + R -> cmd.exe -> enter), перейди в директорию с программой (cd /D PATH) и открой там


      1. shuhray
        19.12.2017 15:59
        #10575446

        Нет, я именно так и делаю (перехожу в директорию, запускаю query.sh, окно с ответом закрывается немедленно)


        1. devalone
          19.12.2017 16:13
          #10575506

          А, речь про ту базу, query.sh написан на баше и под виндой не должен работать(ну разве что в десятке в linux subsystem), а искать по базе можно вручную, если ник shuhray, то нужно перейти в data->s->h и найти запись в файле u.


  1. Yumashka
    19.12.2017 15:18
    #10575322

    Нашел одну свою столетнюю почту с паролем 10-летней давности. НО! и в почте (до @), и в пароле не хватало одного символа. Не припоминаю, чтобы я так изголялся при регистрации на каком-либо сервисе.
    Поэтому, наверное, стОит искать (руками или query.sh) не точное соответствие, а большим куском.


    1. devalone
      19.12.2017 16:19
      #10575534

      grep -a -i -r 'your_phrase'


    1. Yumashka
      19.12.2017 16:22
      #10575540

      К сожалению, не могу править комментарий. Опечатался: "… а небольшим куском"


  1. devalone
    19.12.2017 15:38
    #10575378

    Неужели кто-то ещё не хеширует пароли?


    1. Lerk
      19.12.2017 17:32
      #10575714

      А за что минусите то человека? Многие отечественные ресурсы хранят пароли плейн-текстом и высылают их в письмах при запросе «Восстановить пароль». Пригорает от такого знатно, особенно если используешь пароли типа prefix + core(постоянное) + suffix.


      1. Simplevolk
        20.12.2017 16:55
        #10577744

        значит, не только я так формирую пароли…


  1. jazzl0ver
    19.12.2017 18:52
    #10575852

    В базе встречаются эккаунты с сервисов:
    irr.ru
    ladyauto.ru


  1. bisor
    21.12.2017 12:10
    #10579470

    хранить пароли в плейнтексте — высшее зло! Никаких напоминаний паролей, только смена.
    hotmail, yahoo, gmx.de, web.de… вроде крупные сервисы, а реально лажают очень круто.
    Зато где-то там на конференциях и книгах пишут и учат как нужно строить безопасность.