Где я?
ББ-Home > Новости > 1/52 > 773 000 000

773 000 000

Утечки данных случаются всё чаще, утечки данных становятся всё масштабнее, и сами данные представлены в Сети уже в таком количестве, что вообще ничего не стоят. Предлагаем вам перевод статьи из WIRED о последней такой «находке», беспрецедентной по своему масштабу.

Hack brief: an astonishing 773 million records exposed in monster breach

Брайан Барретт

16 января 2019 года

Есть утечки, есть магаутечки, и есть Equifax. Но только что обнаруженные залежи «сбежавших» данных превосходят их все в своей необъятности: 772 904 991 уникальных адресов электронной почты, более 21 миллиона уникальных паролей, все недавно размещенные на хакерском форуме.

Первым об этом сообщил исследователь в сфере безопасности Трой Хант, который поддерживает сайт Have I Been Pwned, предоставляющем возможность проверить, был ли когда-нибудь ваш собственный адрес или пароль объектом утечки. (Каверзный вопрос: конечно, был.) Так называемая Коллекция №1 представляет самую большую утечку в зверинце Ханта и ее трудно назвать окончательной.

Взлом

Если уж на то пошло, представленные выше цифры не дают точного представления о реальном объему утечки, поскольку они являются результатом усилий Ханта по очистке данных с целью исключить дублирование и избавиться от прочего информационного мусора. В сыром виде набор данных состоит из 2,7 млрд строк с адресами и паролями электронной почты, включая более миллиарда их уникальных комбинаций.

На короткое время этот клад промелькнул на облачном сервисе MEGA и обосновался, по словам Ханта, на «популярном хакерском форуме». Он был размещен в папке под названием Collection#1, которая содержала более 12000 файлов, занимающих в общей сложности более 87 гигабайт. И хотя трудно сказать с уверенностью, откуда именно он взялся, скорее всего имеет смысл говорить об утечке утечек; иными словами, набор собран из записей из более 2000 баз данных паролей, хэш-защита которых была взломана.

«Он выглядит как совершенно случайный набор сайтов, собранный исключительно с целью предоставить хакерам максимально доступный набор верификационных данных», – сообщил Хант WIRED. «Без какой-либо явной системы, просто максимальный объем данных.»

Это что-то сродни Voltron-утечке, уже случавшейся прежде, но никогда подобного масштаба. В действительности, это не только крупнейшая из утечек, ставших публично доступными, по размеру она уступает лишь двум утечкам данных из Yahoo, от которых соответственно пострадали 1 млрд и 3 млрд пользователей. К счастью, украденные у Yahoo данные никогда не проступали наружу. Пока что.

Кто пострадал?

Судя по всему, все эти данные составлены для использования в так называемых credential stuffing атаках, когда хакеры пытаются определить, к каким конкретно сайтам и службам могут подойти имеющиеся у них комбинации логин-пароль. Обычно это автоматизированный процесс, жертвой которого в первую очередь становятся люди, которые повсюду используют одни и те же учетные данные.

В том, что Коллекция №1 стала публичной есть и положительная сторона; теперь вы можете однозначно выяснить, был ли ваш email и пароль к нему в числе пострадавших. Хант уже загрузил их на сайт Have I Been Pwned; просто вбейте адрес своей электронной почты в поле для поиска и держите пальцы скрещенными. Заодно вы можете узнать, жертвой скольких утечек вам довелось стать. Какой бы пароль вы ни использовали для тех аккаунтов, смените его.

Вводите адрес электронной почты и держите пальцы скрещенными.

Кроме того, полтора года назад сайт реализовал возможность поиска по паролям; вы можете просто набрать пароли от своих наиболее уязвимых аккаунтов и посмотреть, есть ли они уже в открытом доступе. Если да, смените и их.

И раз уж вы занялись этой проблемой, установите менеджер паролей. Последнее время оно того стоит.

Насколько это серьезно?

Еще как серьезно! Хотя, судя по всему, Коллекция №1 не содержит другой важной информации, вроде номеров карточек социальной страхования, благодаря своему масштабу она уже вошла в историю. Несколько ее элементов вызывают особую тревогу. Прежде всего, около 140 млн email-аккаунтов и более 10 млн уникальных паролей в Коллекции №1 впервые попали в базу данных Ханта, означая, что они не просто повторы от прежних мегаутечек.

В таком случае есть путь, которым эти пароли попали в Коллекцию. «Все эти пароли в текстовом формате. Если мы возьмем утечки вроде произошедшей с Dropbox, она содержала 68 млн уникальных адресов электронной почты, но все пароли к ним были захэшированы, что делало их использование крайне затруднительным», – пояснил Хант. В данном случае,чтобы проникнуть в ваши учетные записи все техническое искусство, которым должен обладать кто-либо, имеющий доступ к папках, это умение скролить и кликать.

И напоследок Хант также отметил, что все эти записи размещались не в тихих заводях Темной сети, но в одном из наиболее популярных хранилищ, пока оно не было закрыто, а затем на публичном хакерском сайте. Они даже не были выставлены на продажу; они были доступны каждому.

Ничего нового для того, чтобы защитить себя, придумывать не надо. Никогда не используйте одни и те же пароли на разных сайтах; это увеличивает вашу уязвимость на порядки. Установите менеджер паролей. Have I Been Pwned напрямую интегрирован в 1Password – автоматически проверяя все ваши пароли на предмет содержания в базе данных – но у вас не будет недостатка в выборе хороших паролей. Активизируйте встроенную в приложения двухфакторную аутентификацию на стольких аккаунтах, на скольких это будет возможно, так чтобы пароль не был вашей единственной линией обороны. И если вам случится обнаружить адрес вашей электронной почты или один из ваших паролей на сайте Have I Been Pwned, по крайней мере знайте, что вы в хорошей компании.

Top