- PVSM.RU - https://www.pvsm.ru -

Найдена крупнейшая БД украденных паролей: что следует знать

В декабре компания 4iq, занимающаяся предотвращением нелегального использования персональных данных и несанкционированного доступа к пользовательским аккаунтам, обнаружила [1] файл с БД на 1,4 млрд украденных «учеток». Находка стала возможной благодаря сканированию даркнета и дипвеба на предмет подобных «сливов», которыми могут воспользоваться злоумышленники.

Это «самая объемная [2]» база данных такого рода на сегодняшний день. В этой статье мы поговорим об особенностях найденной базы, вспомним похожие утечки пользовательских данных и расскажем о том, что делать в ситуации, если вы «нашли себя» в такой БД.

Найдена крупнейшая БД украденных паролей: что следует знать - 1 [3]
/ Flickr / Magnus D [4] / CC [5]

Самая «удобная» база чужой информации

При анализе базы выяснилось, что в основном она содержит пользовательские учетные данные, украденные в 252 отдельных случаях. Они пересекаются с содержимым других банков, например, Anti Public Combo List, который хранит [6] более 500 млн паролей. По оценкам экспертов, только 14% аккаунтов в новой базе можно называть оригинальными — эти пары имен пользователей и паролей не были расшифрованы ранее.

То, что отличает находку от других, — это формат, который представляет собой не обычный список, а интерактивную базу данных. Она позволяет без труда находить и использовать содержимое — упрощает подбор и показывает закономерности пользовательских предпочтений в выборе того или иного пароля.

С помощью такой БД злоумышленникам не составит труда автоматизировать процесс кражи персональных данных. С другой стороны, полнота базы, «удобная» организация данных и навигация открывает доступ к нелегальной деятельности даже для не самых опытных киберпреступников.

Другие крупные утечки последних лет

В 2016 году количество инцидентов, связанных с кражей персональных данных, выросло [7] на 40% по сравнению с 2015-м. В течение 12 месяцев произошло сразу несколько масштабных «сливов».

В мае 2016 года (спустя 8 лет после предположительного взлома MySpace) 360 млн «доступов» к учетным записям были выставлены [8] на продажу. То же самое произошло [9] со 164 млн адресов электронной почты и паролей социальной сети LinkedIn — сведения были украдены в 2012 году, но появились на «черном рынке» только 4 года спустя.

По тому же сценарию была обнародована [10] база из 100 млн «учеток» пользователей VK. Известный специалист по ИБ Трой Хант (Troy Hunt) считает [11], что нет очевидной причины, почему злоумышленники удерживают украденные данные годами, а после пытаются продать, — все зависит от их личных мотивов.

Еще один «запоздалый лот» — база данных адресов почт и паролей 57 млн пользователей сервиса для знакомств Badoo. Она оказалась на рынке [12] в мае 2016 года, но взлом предположительно произошел в 2015-м.

Закончился год одними из самых крупных утечек в истории — Anti Public и Expoit.in. В совокупности они пополнили общую базу более чем миллиардом «доступов» к аккаунтам пользователей. Оба списка содержали несколько разных паролей одних и тех же пользователей в различных онлайн-системах, что упрощало доступ к ценной информации за счет анализа подходов к составлению паролей потенциальной «жертвы».

Итоги этого года еще предстоит подвести, но уже сейчас можно вспомнить громкие «сливы» 2017-го.

В марте этого года у группы спамеров, работающих от имени River City Media, случайно «утекли [13]» данные 1,34 млрд получателей «маркетинговых» рассылок. Это произошло из-за неудачной настройки процесса резервного копирования. В базе нашлись email'ы, IP- и даже домашние и рабочие адреса получателей.

В середине 2017 года в интернете был обнаружен список персональных данных более чем 105 млн человек. Он носил название [14] «B2B USA Businesses» и содержал адреса электронной почты работодателей с информацией о вакансиях, а также рабочие номера телефонов и физические адреса.

В августе был обнаружен [15] каталог, содержащий результаты работы спам-бота Onliner Spambot. Он отправлял вредоносное ПО на уязвимые компьютеры под видом официальных документов или подтверждений бронирования из гостиниц, а затем крал пароли, данные кредитных карт и другую личную информацию. Всего было украдено [16] более 710 млн учетных данных.

Позже стало известно об утечке, которую называют [17] «худшей» с точки зрения значимости украденных сведений. Хакеры обладали доступом к базе Equifax, одного из трех крупнейших кредитных агентств США, с середины мая по июль, и «слили» данные 143 млн клиентов, в том числе номера социального страхования и водительских удостоверений.

Осенью подтвердились [18] худшие опасения о громком сливе данных пользователей Yahoo. Verizon, которая приобрела компанию, подсчитала [19], что похищенные «учетки» имели отношение к 3 млрд аккаунтов в Tumblr, Fantasy и Flickr.

Найдена крупнейшая БД украденных паролей: что следует знать - 2
/ Flickr / Angie Harms [20] / CC [21]

Что делать, если вы «нашли себя»

Попасть в число людей, чьи данные были украдены и проданы, не так сложно, если счет «слитых» аккаунтов идет уже на миллиарды. Чтобы обезопасить себя, для начала нужно понимать, как злоумышленники могут воспользоваться вашими персональными данными.

Стоимость украденных ПД может [22] измеряться в миллиардах. В первую очередь ценность представляют собой доступы к финансовым инструментам (например, к сервису онлайн-банкинга).

Такая информация используется [23] для покупок в онлайн-магазинах и перепродажи другим пользователям в даркнете. Люди часто устанавливают [24] одни и те же пароли для разных аккаунтов, поэтому пароль от учетной записи на одном сайте может открывать доступ к более ценной для злоумышленников информации, располагающейся уже на другой площадке.

Чтобы обезопасить свои личные данные, нужно:

1. Отслеживать утечки

Существует открытая база данных [25] Data Breach, которая позволяет узнать о том, какие организации допустили «слив» данных. Упомянутый выше Трой Хант поддерживает работу аналогичного сервиса под названием «Have i been pwned? [26]». Он помогает узнать (по адресу электронной почты), не был ли скомпрометирован ваш аккаунт на том или ином ресурсе, и получать уведомления о крупных утечках. Эта информация позволяет своевременно реагировать и менять пароли от соответствующих аккаунтов.

2. Не пренебрегать очевидными советами по безопасности

Из 1,4 млрд украденных аккаунтов в новой базе данных наиболее распространенным паролем оказался «123456». Это лишний раз подтверждает, что пользователи игнорируют элементарные правила безопасности. Они выбирают простые комбинации и используют их сразу для нескольких ресурсов. Устанавливать и хранить сложные пароли помогают специализированные приложения и сервисы [27].

Если сервис предлагает двухфакторную аутентификацию, ей стоит воспользоваться. Помимо этого, перед размещением конфиденциальных сведений в облаке, важно убедиться, что сервис обеспечивает высокий уровень безопасности: шифрование, двухфакторную аутентификацию, управление политиками доступа, регулярные проверки и другие меры (немного о том, как мы работаем над обеспечением безопасности данных клиентов IaaS-провайдера 1cloud — материал на Хабре [28] и еще один [29] в нашем корпоративном блоге).

3. Знать, как действовать в случае утечки ПД

В том случае, если под угрозой оказались ваши финансовые инструменты, следует немедленно связаться с банком или иной организацией и уведомить специалистов о возможных проблемах.

Не лишним [30] также будет обратиться в кредитные организации, чтобы узнать, не пытались ли злоумышленники взять кредит на ваше имя. В России такой организацией выступает Национальное бюро кредитных историй. Оно позволяет проверить [31] всю необходимую информацию. С подозрениями и фактами о краже ПД следует обращаться в правоохранительные органы. Заявление в будущем сыграет роль доказательства в возможных судебных спорах.

Важно помнить, что фрагмент «нейтральной» информации, например, адрес электронной почты без пароля, может использоваться для доступа к финансовым инструментам. Злоумышленники применяют нетехнические средства атаки, такие как методы социальной инженерии [32], то есть выясняют недостающие сведения в ходе контакта с «жертвой». Поэтому выяснив, что ваши ПД были «слиты», важно не терять бдительность и обращать внимание на все звонки и письма. В этот момент базовые рекомендации вроде «не сообщать паролей сотрудникам банка по телефону» важны как никогда.

4. Изучать материалы по теме (небольшой тематический дайджест)

  • Разработчик решений для предотвращения потери данных DigitalGuardian собрал [33] более 100 простых, но важных советов по защите персональной информации. Особую ценность представляют цитаты и полезные инструменты от таких порталов, как PrivacyRights, и таких компаний, как Лаборатория Касперского.

  • В этой статье [34] специалисты по безопасности компании Tripwire, разрабатывающей продукты для защиты данных, дают рекомендации по выбору паролей. Основные советы касаются регулярной смены паролей и выбора символов и фраз для них. Эти правила могут показаться банальными, но, возвращаясь к находке 4iq, мы видим, что не все применяют на практике очевидные способы защиты.

  • Другая компания в сфере безопасности — HeimdalSecurity — попросила [35] 19 экспертов рассказать о трех главных мерах защиты на их взгляд. Комментариями поделились сотрудники Eset, SecurityWatch, CSIS и других компаний.

  • Здесь описан [36] процесс тестирования защищённости инфраструктуры провайдера. Этот пример демонстрирует, как ПД клиентов могут быть украдены из-за уязвимости системы безопасности обслуживающей компании. Еще один пример [37], но уже об уязвимости банка. В статье описано несколько сценариев взлома.

  • А здесь [38] рассказывается история о том, как работает социальная инженерия на практике. Фейковый аккаунт в Facebook и ложная форма ввода пароля — все, что требуется для получения доступа к профилям в социальных сетях и почте.

  • Еще один инструмент от Троя Ханта — Pwned Passwords [39]. Он открывает доступ к миллионам «слитых» паролей. Их можно считать непригодными для использования, так как хакеры уже смогли их похитить, а, значит, ими смогут воспользоваться злоумышленники.

  • Шифрование данных фигурирует во многих советах от специалистов по безопасности. Здесь [40] можно найти подборку соответствующих инструментов.

  • Для лучшего погружения в вопрос можно обратиться к ресурсам, описывающим то, как мыслят и действуют хакеры. Пользователи Quora рекомендуют [41] лучшие, по их мнению, материалы на эту тему. Существуют и книги по так называемому этичному хакингу [42]. Они также помогают защитить себя посредством практического анализа уязвимых мест и понимания соответствующих методов обхода систем безопасности.

P.S. Еще больше полезных материалов по теме в нашем корпоративном блоге:

Автор: 1cloud

Источник [48]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/270995

Ссылки в тексте:

[1] обнаружила: https://medium.com/4iqdelvedeep/1-4-billion-clear-text-credentials-discovered-in-a-single-database-3131d0a1ae14

[2] самая объемная: https://siliconangle.com/blog/2017/12/10/security-company-discovers-database-1-4b-user-credentials-dark-web/

[3] Image: https://habrahabr.ru/company/1cloud/blog/344972/

[4] Magnus D: https://www.flickr.com/photos/magnus_d/6385512087/

[5] CC: https://creativecommons.org/licenses/by/2.0/

[6] хранит: https://threatpost.com/anti-public-combo-list-analysis-reveals-password-habits-improving/125627/

[7] выросло: https://www.bloomberg.com/news/articles/2017-01-19/data-breaches-hit-record-in-2016-as-dnc-wendy-s-co-hacked

[8] были выставлены: https://www.troyhunt.com/dating-the-ginormous-myspace-breach/

[9] произошло: https://motherboard.vice.com/en_us/article/4xaaxb/you-can-now-finally-check-if-you-were-a-victim-of-the-2012-linkedin-hack

[10] была обнародована: https://motherboard.vice.com/en_us/article/d7yyqv/another-day-another-hack-100-million-accounts-for-vk-russias-facebook

[11] считает: https://www.troyhunt.com/observations-and-thoughts-on-the-linkedin-data-breach/

[12] оказалась на рынке: http://www.zdnet.com/article/after-mystery-hack-millions-of-logins-for-sale-on-dark-web/

[13] утекли: http://fortune.com/2017/03/06/spammer-leaks-data/

[14] носил название: https://www.troyhunt.com/have-i-been-pwned-and-spam-lists-of-personal-information/

[15] был обнаружен: https://www.theverge.com/2017/8/31/16232144/onliner-largest-malware-spambot

[16] было украдено: https://www.troyhunt.com/inside-the-massive-711-million-record-onliner-spambot-dump/

[17] называют: https://www.identityforce.com/business-blog/equifax-breach-impacts-143-million-steps-to-keep-your-identity-protected

[18] подтвердились: https://www.oath.com/press/yahoo-provides-notice-to-additional-users-affected-by-previously/

[19] подсчитала: http://money.cnn.com/2017/10/03/technology/business/yahoo-breach-3-billion-accounts/index.html

[20] Angie Harms: https://www.flickr.com/photos/aisforangie/148730715/

[21] CC: https://creativecommons.org/licenses/by-nd/2.0/

[22] может: https://nypost.com/2017/06/23/heres-how-much-your-personal-data-is-worth-to-hackers/

[23] используется: https://www.tripwire.com/state-of-security/vulnerability-management/how-stolen-target-credit-cards-are-used-on-the-black-market/

[24] устанавливают: https://www.secplicity.org/2017/05/18/stolen-hackers-data/

[25] база данных: http://breachlevelindex.com/data-breach-database

[26] Have i been pwned?: https://haveibeenpwned.com/

[27] специализированные приложения и сервисы: http://www.techradar.com/news/software/applications/the-best-password-manager-1325845

[28] на Хабре: https://habrahabr.ru/company/1cloud/blog/342770/

[29] еще один: https://goo.gl/NoU3SC

[30] Не лишним: https://www.tomsguide.com/us/data-breach-to-dos,news-18007.html

[31] позволяет проверить: https://www.nbki.ru/serviceszaem/proverit_creditnuyu_istoriu/

[32] социальной инженерии: https://habrahabr.ru/post/271717/

[33] собрал: https://digitalguardian.com/blog/101-data-protection-tips-how-keep-your-passwords-financial-personal-information-safe

[34] этой статье: https://www.tripwire.com/state-of-security/security-awareness/expert-tips-on-how-password-hygiene-can-help-protect-your-accounts/

[35] попросила: https://heimdalsecurity.com/blog/security-experts-roundup/

[36] Здесь описан: https://habrahabr.ru/post/213719/

[37] пример: https://habrahabr.ru/company/dsec/blog/214351/

[38] здесь: https://habrahabr.ru/post/236577/

[39] Pwned Passwords: https://haveibeenpwned.com/Passwords

[40] Здесь: http://www.techradar.com/news/top-5-best-encryption-tools

[41] рекомендуют: https://www.quora.com/What-are-the-best-books-to-learn-hacking-2

[42] этичному хакингу: https://habrahabr.ru/company/mailru/blog/282700/

[43] Тренды облачной безопасности: МО, шифрование, мониторинг: https://goo.gl/uayG7A

[44] Backup и Snapshot: отличия и применение: https://goo.gl/xykzyA

[45] Немного о безопасности в «облаке»: опыт 1cloud: https://goo.gl/sQ41Fu

[46] Безопасность данных в облаке: угрозы и способы защиты: https://goo.gl/kkzveL

[47] Backup&Recovery: поточная и умная дедупликация, снапшоты и вторичное хранение: https://goo.gl/Kz9QLA

[48] Источник: https://habrahabr.ru/post/344972/?utm_campaign=344972