Rosyjski gang internetowy CyberVors przechwycił 1,2 miliarda danych logowania

Hold Security, jedna z amerykańskich firm zajmujących się bezpieczeństwem komputerowym wydała raport, w którym informuje o istnieniu rosyjskiej organizacji przestępczej, która wykrada loginy i hasła do popularnych witryn internetowych. Nie byłoby w tym nic dziwnego, bo przecież w różnych zakątkach świata istnieje wiele tego typu grup, gdyby nie przytoczone liczby – według raportu tej grupie udało się już pozyskać około 1,2 miliarda loginów i haseł. Kto jest zagrożony? Potencjalnie każdy z nas, bo łupem cyberprzestępców padło wiele serwisów internetowych.

Namierzenie gangu zajęło Hold Security przeszło siedem miesięcy badań. Jako, że nie udało się znaleźć żadnych informacji o jego nazwie (widocznie członkowie nie potrzebują rozgłosu), został on przez pracowników firmy nazwany „CyberVor”, od rosyjskiego słowa „vor”, które oznacza złodzieja. Amerykańska firma sądzi, że grupie tej udało się zgromadzić aż 4,5 miliarda różnego rodzaju rekordów, głównie są to skradzione dane uwierzytelniające. Przeszło 1,2 miliarda wydaje się być unikalna, podobnie jak pół miliarda adresów e-mail. Jak doszło do tak ogromnego wycieku danych? To nie atak na pojedynczą usługę, złodzieje uderzyli w ponad 420 tysięcy witryn internetowych, z których to właśnie zdobyli wszystkie te informacje.

Najprawdopodobniej atakujący najpierw zdobyli bazy wcześniej wykradzione przez innych hakerów – na czarnym rynku można znaleźć tego typu zbiory danych i po prostu je nabyć za odpowiednią kwotę. Te pozwoliły im dokonać ataków na inne usługi. Ich ofiarą padli dostawcy poczty internetowej, social media, a także strony internetowe. Dostęp został wykorzystany do wysyłania spamu i złośliwych przekierowań, które miały na celu pozyskanie kolejnych danych już od samych użytkowników. Na początku tego roku ich sposób działania uległ zmianie. Poprzez czarny rynek uzyskali oni dostęp do sieci botnetowych, dzięki którym sprawdzali podatność na ataki typu SQL Injection witryn internetowych, które były odwiedzane przez zainfekowanych użytkowników. Hold Security nazywa to największym „audytem bezpieczeństwa” jaki kiedykolwiek miał miejsce. Nieświadomie wzięły w nim udział tysiące osób z całego świata.

Wyniki okazały się katastrofalne – ponad 400 tysięcy witryn było podatnych na włamanie tego typu. Nie ma tutaj rozgraniczenia na duże lub małe witryny, atakowane były te, które zostały odwiedzone przez użytkowników wchodzących w skład botnetu: zarówno witryny liderów niemal każdej gałęzi przemysłu, jak i strony zupełnie prywatne. Badacze twierdzą, że część wykradzionych danych może być nieaktualna, część to np. hasła wygenerowane automatycznie przez system przy pierwszym logowaniu, niemniej duża część może być autentyczna i aktywna. Co więcej, jako, że użytkownicy często używają tych samych haseł, w wielu przypadkach ich dane zostały zdobyte na kilku witrynach. Potwierdza to ilość unikalnych rekordów: 1,2 miliarda z aż 4,5 które zostały przechwycone.

Hold Security zaznacza, że firmy powinny natychmiast zająć się problemem podatności na SQL Injection na swoich witrynach internetowych – dopóki ten problem nie zostanie rozwiązany, zmiana haseł przez użytkowników nic nie da. Nie chodzi tu o strony główne, ale wszystkie podstrony, gdzie możliwy jest dostęp zewnętrzny. Użytkownicy indywidualni będą mogli w przeciągu najbliższych 60 dni skorzystać z usługi pozwalającej na sprawdzenie, czy ich dane zostały przechwycone. Usługa będzie darmowa przez 30 dni, wymagać będzie rejestracji i weryfikacji, a następnie wprowadzenie swoich danych. Choć nie jest to czynność, jaką można polecić, firma zastrzega, że zadba o bezpieczeństwo danych przy użyciu hashy SHA512, nie będą one nigdy przechowywane w czystej, niezabezpieczonej postaci. Już teraz możemy dokonać wstępnej rejestracji do tej usługi.

W związku z wieloma wątpliwościami dotyczącymi serwisu, który opublikował ten raport przestrzegamy użytkowników w braniu udziału w akcji sprawdzania, czy nasze dane wyciekły. Witryna firmy nie budzi dostatecznego zaufania, sam formularz aplikacyjnych również, na dodatek wygląda na stworzony na szybko (przy użyciu Twitter Bootstap). Często występują problemy z dostępem do witryn Hold Security, może to jednak wynikać z dużego zainteresowania sprawą. Pamiętajcie, podawanie własnych danych logowania na witrynach firm trzecich to zawsze duże ryzyko, przestrzegamy przed jego podejmowaniem w tej sytuacji. Raport może więc być jedynie próbą ściągnięcia na siebie uwagi i reklamy firmy.