Több millió kiszivárgott hitelesítési adatból áll az új gigacsomag
Korábban kiszivárgott gyűjtésekből és adatlopó malware-ek segítségével frissen összekalapozott adatokból összeállított csomagot sikerült felfedezni, amit Naz.API csomagként árulnak a bűnözők a dark weben.
Legalább négy hónapja kering az interneten egy egymilliárd sornyi hitelesítő adatot tartalmazó gyűjtemény, ami többek közt a Facebook, Roblox, eBay és Yahoo szolgáltatásokban készített fiókokhoz engedhet hozzáférést. A Have I Been Pwned? (HIBP) adatbázisát üzemeltető Troy Hunt, biztonsági szakértő szerint a hatalmas mennyiségű adatot egy jól ismert internetes feketepiacon tették közzé, de mivel az ilyen jellegű gyűjtések sok esetben már korábban kiszivárgott jelszavakat fésülnek össze, ezért kevesebb figyelmet kapnak a biztonsági szakemberektől.
Ez esetben azonban 25 millió friss jelszót is tartalmazhat a Naz.API néven hívott csomag, melyek korábban még nem szivárogtak ki más incidensek során. A sorok egy bejelentkezési URL-ből, illetve a bejelentkezési azonosítóból és a hozzá tartozó jelszóból állnak. A 319 fájlt tartalmazó gyűjtés összesen 104GB-ot tesz ki, és 70 millió egyedi e-mail címet tartalmaz. Egy kisebb mintán végzett vizsgálat alapján 65 százaléka található már meg a HIBP adatbázisában.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
Ezek alapján a hitelesítő adatok harmada friss információ, tehát nem egy szokásos újrahasznosított listáról van szó, a plusz bejelentkezési adatokat valószínűleg adatlopó malware szipkázta el fertőzött eszközökről. Az információlopó malware-ek többféle módon próbálnak felhasználónév-jelszó párosokat vagy mentett hitelesítőadatokat kobozni, böngészőkön, VPN-klienseken keresztül, hozzávéve a kriptovaluta pénztárcékat, cookie-kat, böngészési előzményeket, SSH-kulcsokat, amiket szöveg és kép formában archiválnak a távoli szerverekre továbbított logokban.
Hunt megerősítette az adatkészlet hitelességét, több érintett e-mail cím tulajdonosával is felvette a kapcsolatot, és a visszajelzések alapján a legtöbb jelszó 2020-2021 közt lehetettek érvényesek. Az újrahasznosított, más csomagokból szerzett adatok miatt azonban 2011-ben aktuális jelszó is található benne, tehát 13 évet ölel fel az adatok időbelisége - értelemszerűen, a valaki azóta gyakrabban változtatta a jelszavát, kevésbé kell tartania a lehetséges kockázatoktól.
A HIBP adatbázisában bárki ellenőrizheti, hogy érintett-e a saját e-mail címe, ám mivel az adatok több forrásból származnak, a szolgáltatás nem tudja megmondani, hogy konkrétan melyik webhelyről származnak az ellopott hitelesítők.