Miliardy loginów i haseł są publicznie dostępne. Specjaliści podejrzewają jedną osobę

W drugiej połowie stycznia do sieci trafił ogromny zestaw adresów e-mail i haseł – Collection #1, zawierający 773 mln rekordów. Amerykańska firma Recorded Future twierdzi, że zidentyfikowała osobę odpowiedzialną za zebranie i sprzedaż danych. W międzyczasie publicznie udostępnione zostały kolejne zestawy: Collection #2 do #5.

Specjaliści z Recorded Futire są przekonani, że za wystawienie kolekcji danych na sprzedaż odpowiedzialny (lub odpowiedzialna) jest C0rpz. Osoba ta jest ich zdaniem winna nie tylko wystawienia na sprzedaż wspomnianego pakietu 733 milionów adresów e-mail i 22 milionów unikalnych haseł, ale też wielu innych. Jego lub jej właśnie aktywność, badacze obserwowali przez ostatnie 3 lata. Było to zwykle gromadzenie i sortowanie danych, pochodzących z różnych włamań i sprzedawanych online.

Poza wspomnianą Collection #1 badacze przypisują tej samej osobie wystawienie na sprzedaż 6 innych pakietów: ApMyr & Zabugor #2 (19,49 GB), Collection #2 (528,5 GB), Collection #3 (37,18 GB), Collection #4 (178,58 GB) i Collection #5 (40,56 GB). Szósty, znany jako AntiPublic #1 (102,04 GB), jest publicznie dostępny od kwietnia 2017. Pozostałe zawierają także nowy materiał, sprzedany relatywnie niedawno, dostępny przez BitTorrent i MEGA. Analitycy szacują, że w sumie w pakietach znajduje się nawet 3,5 miliarda wpisów z danymi logowania. Specjaliści z Instytutu Hasso Plattnera w Postdam obliczyli, że po usunięciu duplikatów tylko w Collection #2-#5 znajduje się trzykrotnie więcej loginów i haseł niż w Collection #1. Około 750 milionów z nich, to dane zupełnie nowe. Mogą to być kombinacje nazwy użytkownika i hasła, adresu e-mail i hasła lub numeru telefonu i hasła.

Recorded Future informuje, że kolekcje kupił już między innymi Sanix – cyberprzestępca, którego Brian Kerbs wskazał pierwotnie jako źródło mającej już ponad rok Collection #1. Kolejnym nabywcą był lub była Clorox. Ta osoba udostępniła całość Collection #1 za darmo na forach na początku 2019 roku, dzięki czemu o kolekcji dowiedzieli się wszyscy internauci. 10 stycznia ogromna biblioteka danych, zawierająca także wpisy z Collection #1, została udostępniona na rosyjskojęzycznym forum.

Badacze przypominają, że choć osoby te miały dostęp do danych, nie ma żadnych dowodów, wiążących je z włamaniami i zdobywaniem loginów i haseł. To prawdopodobnie tylko kolekcjonerzy. Nie ma to w zasadzie większego znaczenia, gdyż dane te były dostępne w różnych miejscach wcześniej. Jeśli ktoś wiedział gdzie szukać, mógł do nich dotrzeć. Kolekcjonerzy zorientowali się jednak, że ze względu na rosnącą liczbę ataków na różne firmy, ceny wycieków z samego tylko Dropboxa, Yahoo! czy LinkedIn spadają. Handlarze zaczęli więc zbierać je w większych pakietach i usuwać duplikaty, by wciąż zarabiać. Wspomniane wyżej 7 kolekcji to zapewne tylko kropla w morzu. Prawdopodobnie dane te zostały wykorzystane i na tyle się zestarzały, że przestały przynosić zyski, więc zostały udostępnione bez ograniczeń dla wszystkich. Według specjalistów z Phosphorus.io już w piątek 4-częściową kolekcję pobrano z sieci BitTorrent ponad tysiąc razy.

Prawdopodobnie tak. Jeśli w wymienionych wyżej kolekcjach znajduje się ponad 3,5 miliarda loginów i haseł, jest spora szansa, że twoje i moje również tam są (znalazłam tam swoje nieaktualne już dane logowania do Dropboxa). Można to łatwo sprawdzić z pomocą strony Have I Been Pwnd, o której pisałam z okazji Europejskiego Dnia Ochrony Danych Osobowych. Strona umożliwia wyszukanie także swojego hasła (ale nigdy jednego i drugiego na raz). By bronić się przed dalszym wykorzystaniem danych, dobrze jest dla każdego konta mieć inne, silne hasło, a jeśli to możliwe, korzystać także z różnych adresów e-mail i loginów.

Czy coś nam grozi? Poza oczywistym, czyli próbą włamania na czyjeś konto na podstawie danych z wycieku, podstawowym zagrożeniem jest spam. Baza użytkowników jakiejś usługi nie pomoże raczej w atakach kierowanych czy szantażu, ale jest świetnym źródłem aktywnych adresów e-mail. Dostępne informacje przy odrobinie pracy można wykorzystać także do ataków phishingowych, wymuszeń i oszustw. Martwić może też skala zjawiska, nawet jeśli pojedyncze rekordy są już bezużyteczne.