Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Gigantikus spammer-adatbázis szivárgott ki

Gálffy Csaba, 2017. március 07. 16:24
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Érzékeny személyes adatokat is tartalmazó gigantikus adatbázist halmozott fel az egyik hírhedt, levélszemét-cég, a River City Media. A véletlenül kikerült adathalmazt már a hatóságok vizsgálják.

hirdetés

Teljes biztonsági mentésével bukott le az egyik legnagyobb emailes spammer-csapat. A MacKeeper biztonsági kutatóközpontja, a Spamhaus és a CSO Onlne közös vizsgálata szerint közel 1,4 milliárd felhasználó adatai fölött rendelkezett a River City Media névre hallgató, levélszemétben utazó csapat.

Védtelen biztonsági mentés

Az adat-aranybányára a MacKeeper biztonsági szakembere, Chris Vickery lelt rá - a csapat egyik szerverén nyitott 873-as port mögött rsync kiszolgáló futott, mindenféle védelem nélkül. A szervert a csapat biztonsági másolatok készítésére használta, így a különböző adatbázisok mellett a belső chatlogok, levelezések is elérhetőek voltak. Ezekből rekonstruálható, hogy hogyan működik egy modern spamhálózat, milyen technikákat használnak a levélszemét célba juttatására.

Egy Gmail-specifikus támadás például Slowloris megközelítést használja a levelezőszerver túlterhelésére. Ebben a küldő rengeteg kapcsolatot nyit a fogadó szerver felé, lassú, akadozó kommunikációt szimulálva, majd hirtelen szőnyegbombázásra kapcsol és rövid idő alatt minél több levelet átküld, mielőtt a túlterhelt szerver megszakítaná a kapcsolatot. Hasonló forgatókönyvet készített a csapat minden nagyobb email-szolgáltatáshoz, így a Microsoft, az Apple és számos más nagy céghez is kész technikák vannak a levelek célba juttatására.

A trükkökre a spamvédelem megkerüléséhez van szükség, a fentihez hasonló fogásokkal volt elérhető, hogy 2013-ban a Gmail rendszerébe napi egymilliárd levélszemetet tudott küldeni az RCM, mindössze 4 szervert felhasználva. Az RCM egyébként erre saját szoftvert is fejlesztett, a kiszivárgott dokumentáció szerint az IPQ névre hallgató parancssoros eszköz "élesben működik" és "stabil", C++-ban készült és egészséges, napi több tízezer dolláros profitot termelt a készítőknek.

Adat-kincsesbánya

A spammerek hálózatának alapját egy komoly adatcsomag adja, amelyben mintegy 1,37 milliárd különböző rekord szerepel. A (nem egységes) adatbázis olyan információkat tartalmaz, mint email-címek, vezeték- és keresztnevek, IP-címek, postai (fizikai címek). Jelszavakat a csapat tudomásunk szerint nem tárolt, ettől persze még az adatbázis puszta léte is az adatvédelmi szabályok súlyos megsértését jelenti.

A Vickery által ellenőrzött rekordok valósnak bizonyultak, a szúrópróbás ellenőrzés alapján az adatbázis hiteles információkat tartalmaz. Az persze előfordult, hogy egyes felhasználók elköltöztek, vagy más adataikban változás állt be azok begyűjtése óta. És ha már itt tartunk, érdemes megnézni azt is, hogy az RCM hogyan nyert hozzáférést ezekhez az információkhoz: a felhasználókat kamu ajánlatokkal vették rá az adatok átadására - ez a "ko-regisztráció". Ennek lényege, hogy a felhasználókkal űrlapokat töltettek ki nyereményjátékok és egyéb, távolról legitimnek tűnő céllal, az adatvédelmi záradék azonban ezekben az esetekben kikötötte, hogy a begyűjtött információkat a cég "megoszthatja partnereivel".

Az adatok birtokában a levélszemét-feketelistaként üzemelő Spamhaus a teljes RCM-adatbázist felvette a listájára, az adatokat pedig a szakemberek átküldték a bűnüldöző hatóságoknak is.

Data broker - a sötét oldalon

Érdemes megjegyezni, hogy az RCM és társai mellett a nagy, legitim cégek is hasonlóan agresszív adatgyűjtést folytatnak, a Datalogix felvásárlással komoly szereplővé váló Oracle, a Salesforce vagy épp az Adobe ugyanis hasonló adatbázisokat halmoztak fel, amelyeket partnerek felé értékesítenek. Ezeket az adatbázisokat a szolgáltatást használó partnerek felhasználhatják saját marketinges céljaikra, így akár direkt elérésre, emailküldésre is, mindezt pedig vásárlási információk, hűségkártyák adatai egészítik ki. A nagy különbség, hogy ezek a szereplők nem intéznek támadásokat a levelezőszerverek irányába.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.