Szerző: Dömös Zsuzsanna

2024. január 18. 12:30

Több millió kiszivárgott hitelesítési adatból áll az új gigacsomag

Korábban kiszivárgott gyűjtésekből és adatlopó malware-ek segítségével frissen összekalapozott adatokból összeállított csomagot sikerült felfedezni, amit Naz.API csomagként árulnak a bűnözők a dark weben.

Legalább négy hónapja kering az interneten egy egymilliárd sornyi hitelesítő adatot tartalmazó gyűjtemény, ami többek közt a Facebook, Roblox, eBay és Yahoo szolgáltatásokban készített fiókokhoz engedhet hozzáférést. A Have I Been Pwned? (HIBP) adatbázisát üzemeltető Troy Hunt, biztonsági szakértő szerint a hatalmas mennyiségű adatot egy jól ismert internetes feketepiacon tették közzé, de mivel az ilyen jellegű gyűjtések sok esetben már korábban kiszivárgott jelszavakat fésülnek össze, ezért kevesebb figyelmet kapnak a biztonsági szakemberektől.

Ez esetben azonban 25 millió friss jelszót is tartalmazhat a Naz.API néven hívott csomag, melyek korábban még nem szivárogtak ki más incidensek során. A sorok egy bejelentkezési URL-ből, illetve a bejelentkezési azonosítóból és a hozzá tartozó jelszóból állnak. A 319 fájlt tartalmazó gyűjtés összesen 104GB-ot tesz ki, és 70 millió egyedi e-mail címet tartalmaz. Egy kisebb mintán végzett vizsgálat alapján 65 százaléka található már meg a HIBP adatbázisában.

naz-stealer-logs

Színfalak mögött: így épül egy szoftverfejlesztő iroda

Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Színfalak mögött: így épül egy szoftverfejlesztő iroda Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Ezek alapján a hitelesítő adatok harmada friss információ, tehát nem egy szokásos újrahasznosított listáról van szó, a plusz bejelentkezési adatokat valószínűleg adatlopó malware szipkázta el fertőzött eszközökről. Az információlopó malware-ek többféle módon próbálnak felhasználónév-jelszó párosokat vagy mentett hitelesítőadatokat kobozni, böngészőkön, VPN-klienseken keresztül, hozzávéve a kriptovaluta pénztárcékat, cookie-kat, böngészési előzményeket, SSH-kulcsokat, amiket szöveg és kép formában archiválnak a távoli szerverekre továbbított logokban.

Hunt megerősítette az adatkészlet hitelességét, több érintett e-mail cím tulajdonosával is felvette a kapcsolatot, és a visszajelzések alapján a legtöbb jelszó 2020-2021 közt lehetettek érvényesek. Az újrahasznosított, más csomagokból szerzett adatok miatt azonban 2011-ben aktuális jelszó is található benne, tehát 13 évet ölel fel az adatok időbelisége - értelemszerűen, a valaki azóta gyakrabban változtatta a jelszavát, kevésbé kell tartania a lehetséges kockázatoktól.

A HIBP adatbázisában bárki ellenőrizheti, hogy érintett-e a saját e-mail címe, ám mivel az adatok több forrásból származnak, a szolgáltatás nem tudja megmondani, hogy konkrétan melyik webhelyről származnak az ellopott hitelesítők.

A kraftie a HWSW IT-karrierrel foglalkozó, immár sok tízezer IT szakembert mozgató meetup- és podcast-sorozata. Mostantól pedig már egy hírlevél is! Iratkozz fel Te is, ha szeretnél heti egyszer egy rövid, de értékes karrierfókuszú tartalmat kapni.

a címlapról