Hatalmas felhasználói adatbázisok forognak a feketepiacon
Rövid időn belül négy, évekkel ezelőtti támadás zsákmánya is felbukkant. Összesen 629 millió kompromittált felhasználói fiókról van szó, és bár a legfrissebb eset is három éve történt, sokan hosszú évekig azonos vagy nagyon hasonló, egy tőről fakadó jelszavakat használnak. Ráadásul a gyenge védelem miatt ezek a jelszavak ma már viszonylag könnyen és gyorsan visszafejthetőek.
Néhány héten belül négy nagy, évekkel ezelőtti támadás "hadizsákmánya" is felbukkant a feketepiacon. Ez összesen 629 millió felhasználói fiókot jelent, és bár az eddigi vizsgálatok szerint a legfrissebb eset is három éves, ha az alább felsorolt oldalak valamelyikén regisztráltunk 2014 előtt és az ott megadott jelszót vagy annak módosított változatát később máshol újrahasználtuk, érdemes ellenőrizni az ott használt email címünket a Have I Been Pwnd oldalon és megtenni a szükséges lépéseket, azaz a sérülékeny jelszavak azonnali cseréjét. (Én például a LinkedIn-áldozatok között voltam, ami az elmúlt néhány évben már a harmadik "így jártam" eset az Adobe és a Nexus Mods feltörése után – a szerző).
Először a LinkedIntől 2012-ben ellopott adatbázis került eladósorba, méghozzá sokkal kövérebb tartalommal, mint azt eddig tudni lehetett. Akkor még "csak" 6,5 millió, email cím (tehát társított fiók nélküli) jelszóhash kikerüléséről volt szó, de mint nemrég kiderült, a támadók gyakorlatilag vittek mindent tokkal-vonóval: 164,5 millió egyedi email címet és 177,5 millió, "sózás" (salted) nélküli, gyenge SHA-1 algoritmussal védett jelszóhash-t. A KoreLogic kevesebb mint egy hét alatt visszafejtette a jelszavakat, így biztosra vehető, hogy ezt a kompetensebb rosszfiúk is megtették. Úgy fest, a jóval nagyobb adatlopás a LinkedInnek is új volt, a cég rögtön jelszócserét rendelt el az érintett felhasználóknál.
Aztán az itthon kevéssé ismert Fling felnőtt társkereső igen részletes, 40 milliós adatbázisa került forgalomba, mely nem csak sima szöveges (plaintext) formátumú jelszavakat és az ehhez tartozó felhasználói azonosítókat és email címeket, hanem esetenként születési dátumot és szexuális érdeklődési kört is tartalmaz. Az oldal üzemeltetője szerint az adatlopás fél évtizede történt, és bár "nagyon komolyan veszik az internetbiztonságot", gyors tesztünk (a Motherboard tippje alapján) azt mutatta, hogy a Fling a regisztráció utáni üdvözlő levélben visszaküldi a jelszót is – így nincs különösebb okunk feltételezni, hogy a társkeresőnél bármennyire is biztonságban lennének az adatok.
A Tumblr 2013 tavaszán jelentette be, hogy illetéktelenek "a felhasználói email címek és sózott, hash-elt jelszavaihoz" fértek hozzá. Az azonban csak most derült ki, hogy a támadók 65,5 millió fiók adatait szerezték meg. A cég egyelőre nem közölte, hogy milyen a hash-ek milyen algoritmussal készültek (az adatbázis eladója szerint SHA-1-et), viszont ez esetben a salt hozzáadása kellően megnehezíti a visszafejtést.
A legnagyobb fogás azonban a 360 milliós MySpace-adatbázis, ami egyből a Have I Been Pwnd toplista első helyére ugrott, méghozzá tetemes, több mint kétszeres előnnyel a sorban következő LinkedIn és Adobe támadásokhoz képest. A jelszavak a LinkedIn esetéhez hasonlóan sózás nélküli SHA1-es hash-ek formájában kerültek a támadókhoz, ennek megfelelően a visszafejtés újfent nem vett igénybe túl sok időt. A LeakedSource vizsgálata szerint a visszafejtést tovább könnyítette, hogy elhanyagolható mennyiségű jelszóban volt nagybetű és mindössze néhány ezer volt tíz karakternél hosszabb. Az egyessel végződő jelszavakból az is leszűrhető, hogy a MySpace valamikor elkezdett figyelni a jelszókomplexitás emelésére, és kötelezővé tette legalább egy szám használatát.
Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.
A jelenlegi tulajdonos Time Warner tegnap megerősítette a hírt. A vállalat szerint a kikerült adatok az oldal 2013. júniusi újraindítása előtti korszakból származnak – a váltáskor az egykor rendkívül népszerű közösségi oldal mögé jelentősen javított biztonsági megoldások kerültek. Arról azonban nincs hivatalos információ, hogy az adatlopásra pontosabban mikor kerülhetett sor – Troy Hunt biztonsági szakértő elemzése szerint valamikor 2008 közepe és 2009 eleje között történhetett az eset.
Miért pont most?
Arra egyelőre nincs széles körben elfogadott magyarázat, hogy miért éppen most, a támadások után sok évvel, néhány héten belül kerültek (észrevehető) forgalomba ezek az adatbázisok. Az eladó a The Real Deal Tor-oldalon minden esetben a peace_of_mind nevet használja, de arról nincs információ, hogy volt-e köze egyáltalán a támadásokhoz, vagy várható-e tőle további nagy dobás. Az viszont figyelemre méltó, hogy egyes fiókokra leosztva az ár nevetségesen, fillérekben mérhetően alacsony, így a visszafejthető jelszavak akár úgy is megérhetik, hogy a szolgáltatások üzemeltetői időközben értesítik felhasználóikat a veszélyforrásról.