Найдена крупнейшая БД украденных паролей: что следует знать

    В декабре компания 4iq, занимающаяся предотвращением нелегального использования персональных данных и несанкционированного доступа к пользовательским аккаунтам, обнаружила файл с БД на 1,4 млрд украденных «учеток». Находка стала возможной благодаря сканированию даркнета и дипвеба на предмет подобных «сливов», которыми могут воспользоваться злоумышленники.

    Это «самая объемная» база данных такого рода на сегодняшний день. В этой статье мы поговорим об особенностях найденной базы, вспомним похожие утечки пользовательских данных и расскажем о том, что делать в ситуации, если вы «нашли себя» в такой БД.


    / Flickr / Magnus D / CC

    Самая «удобная» база чужой информации


    При анализе базы выяснилось, что в основном она содержит пользовательские учетные данные, украденные в 252 отдельных случаях. Они пересекаются с содержимым других банков, например, Anti Public Combo List, который хранит более 500 млн паролей. По оценкам экспертов, только 14% аккаунтов в новой базе можно называть оригинальными — эти пары имен пользователей и паролей не были расшифрованы ранее.

    То, что отличает находку от других, — это формат, который представляет собой не обычный список, а интерактивную базу данных. Она позволяет без труда находить и использовать содержимое — упрощает подбор и показывает закономерности пользовательских предпочтений в выборе того или иного пароля.

    С помощью такой БД злоумышленникам не составит труда автоматизировать процесс кражи персональных данных. С другой стороны, полнота базы, «удобная» организация данных и навигация открывает доступ к нелегальной деятельности даже для не самых опытных киберпреступников.

    Другие крупные утечки последних лет


    В 2016 году количество инцидентов, связанных с кражей персональных данных, выросло на 40% по сравнению с 2015-м. В течение 12 месяцев произошло сразу несколько масштабных «сливов».

    В мае 2016 года (спустя 8 лет после предположительного взлома MySpace) 360 млн «доступов» к учетным записям были выставлены на продажу. То же самое произошло со 164 млн адресов электронной почты и паролей социальной сети LinkedIn — сведения были украдены в 2012 году, но появились на «черном рынке» только 4 года спустя.

    По тому же сценарию была обнародована база из 100 млн «учеток» пользователей VK. Известный специалист по ИБ Трой Хант (Troy Hunt) считает, что нет очевидной причины, почему злоумышленники удерживают украденные данные годами, а после пытаются продать, — все зависит от их личных мотивов.

    Еще один «запоздалый лот» — база данных адресов почт и паролей 57 млн пользователей сервиса для знакомств Badoo. Она оказалась на рынке в мае 2016 года, но взлом предположительно произошел в 2015-м.

    Закончился год одними из самых крупных утечек в истории — Anti Public и Expoit.in. В совокупности они пополнили общую базу более чем миллиардом «доступов» к аккаунтам пользователей. Оба списка содержали несколько разных паролей одних и тех же пользователей в различных онлайн-системах, что упрощало доступ к ценной информации за счет анализа подходов к составлению паролей потенциальной «жертвы».

    Итоги этого года еще предстоит подвести, но уже сейчас можно вспомнить громкие «сливы» 2017-го.

    В марте этого года у группы спамеров, работающих от имени River City Media, случайно «утекли» данные 1,34 млрд получателей «маркетинговых» рассылок. Это произошло из-за неудачной настройки процесса резервного копирования. В базе нашлись email'ы, IP- и даже домашние и рабочие адреса получателей.

    В середине 2017 года в интернете был обнаружен список персональных данных более чем 105 млн человек. Он носил название «B2B USA Businesses» и содержал адреса электронной почты работодателей с информацией о вакансиях, а также рабочие номера телефонов и физические адреса.

    В августе был обнаружен каталог, содержащий результаты работы спам-бота Onliner Spambot. Он отправлял вредоносное ПО на уязвимые компьютеры под видом официальных документов или подтверждений бронирования из гостиниц, а затем крал пароли, данные кредитных карт и другую личную информацию. Всего было украдено более 710 млн учетных данных.

    Позже стало известно об утечке, которую называют «худшей» с точки зрения значимости украденных сведений. Хакеры обладали доступом к базе Equifax, одного из трех крупнейших кредитных агентств США, с середины мая по июль, и «слили» данные 143 млн клиентов, в том числе номера социального страхования и водительских удостоверений.

    Осенью подтвердились худшие опасения о громком сливе данных пользователей Yahoo. Verizon, которая приобрела компанию, подсчитала, что похищенные «учетки» имели отношение к 3 млрд аккаунтов в Tumblr, Fantasy и Flickr.


    / Flickr / Angie Harms / CC

    Что делать, если вы «нашли себя»


    Попасть в число людей, чьи данные были украдены и проданы, не так сложно, если счет «слитых» аккаунтов идет уже на миллиарды. Чтобы обезопасить себя, для начала нужно понимать, как злоумышленники могут воспользоваться вашими персональными данными.

    Стоимость украденных ПД может измеряться в миллиардах. В первую очередь ценность представляют собой доступы к финансовым инструментам (например, к сервису онлайн-банкинга).

    Такая информация используется для покупок в онлайн-магазинах и перепродажи другим пользователям в даркнете. Люди часто устанавливают одни и те же пароли для разных аккаунтов, поэтому пароль от учетной записи на одном сайте может открывать доступ к более ценной для злоумышленников информации, располагающейся уже на другой площадке.

    Чтобы обезопасить свои личные данные, нужно:


    1. Отслеживать утечки

    Существует открытая база данных Data Breach, которая позволяет узнать о том, какие организации допустили «слив» данных. Упомянутый выше Трой Хант поддерживает работу аналогичного сервиса под названием «Have i been pwned?». Он помогает узнать (по адресу электронной почты), не был ли скомпрометирован ваш аккаунт на том или ином ресурсе, и получать уведомления о крупных утечках. Эта информация позволяет своевременно реагировать и менять пароли от соответствующих аккаунтов.

    2. Не пренебрегать очевидными советами по безопасности

    Из 1,4 млрд украденных аккаунтов в новой базе данных наиболее распространенным паролем оказался «123456». Это лишний раз подтверждает, что пользователи игнорируют элементарные правила безопасности. Они выбирают простые комбинации и используют их сразу для нескольких ресурсов. Устанавливать и хранить сложные пароли помогают специализированные приложения и сервисы.

    Если сервис предлагает двухфакторную аутентификацию, ей стоит воспользоваться. Помимо этого, перед размещением конфиденциальных сведений в облаке, важно убедиться, что сервис обеспечивает высокий уровень безопасности: шифрование, двухфакторную аутентификацию, управление политиками доступа, регулярные проверки и другие меры (немного о том, как мы работаем над обеспечением безопасности данных клиентов IaaS-провайдера 1cloud — материал на Хабре и еще один в нашем корпоративном блоге).

    3. Знать, как действовать в случае утечки ПД

    В том случае, если под угрозой оказались ваши финансовые инструменты, следует немедленно связаться с банком или иной организацией и уведомить специалистов о возможных проблемах.

    Не лишним также будет обратиться в кредитные организации, чтобы узнать, не пытались ли злоумышленники взять кредит на ваше имя. В России такой организацией выступает Национальное бюро кредитных историй. Оно позволяет проверить всю необходимую информацию. С подозрениями и фактами о краже ПД следует обращаться в правоохранительные органы. Заявление в будущем сыграет роль доказательства в возможных судебных спорах.

    Важно помнить, что фрагмент «нейтральной» информации, например, адрес электронной почты без пароля, может использоваться для доступа к финансовым инструментам. Злоумышленники применяют нетехнические средства атаки, такие как методы социальной инженерии, то есть выясняют недостающие сведения в ходе контакта с «жертвой». Поэтому выяснив, что ваши ПД были «слиты», важно не терять бдительность и обращать внимание на все звонки и письма. В этот момент базовые рекомендации вроде «не сообщать паролей сотрудникам банка по телефону» важны как никогда.

    4. Изучать материалы по теме (небольшой тематический дайджест)

    • Разработчик решений для предотвращения потери данных DigitalGuardian собрал более 100 простых, но важных советов по защите персональной информации. Особую ценность представляют цитаты и полезные инструменты от таких порталов, как PrivacyRights, и таких компаний, как Лаборатория Касперского.

    • В этой статье специалисты по безопасности компании Tripwire, разрабатывающей продукты для защиты данных, дают рекомендации по выбору паролей. Основные советы касаются регулярной смены паролей и выбора символов и фраз для них. Эти правила могут показаться банальными, но, возвращаясь к находке 4iq, мы видим, что не все применяют на практике очевидные способы защиты.

    • Другая компания в сфере безопасности — HeimdalSecurity — попросила 19 экспертов рассказать о трех главных мерах защиты на их взгляд. Комментариями поделились сотрудники Eset, SecurityWatch, CSIS и других компаний.

    • Здесь описан процесс тестирования защищённости инфраструктуры провайдера. Этот пример демонстрирует, как ПД клиентов могут быть украдены из-за уязвимости системы безопасности обслуживающей компании. Еще один пример, но уже об уязвимости банка. В статье описано несколько сценариев взлома.

    • А здесь рассказывается история о том, как работает социальная инженерия на практике. Фейковый аккаунт в Facebook и ложная форма ввода пароля — все, что требуется для получения доступа к профилям в социальных сетях и почте.

    • Еще один инструмент от Троя Ханта — Pwned Passwords. Он открывает доступ к миллионам «слитых» паролей. Их можно считать непригодными для использования, так как хакеры уже смогли их похитить, а, значит, ими смогут воспользоваться злоумышленники.

    • Шифрование данных фигурирует во многих советах от специалистов по безопасности. Здесь можно найти подборку соответствующих инструментов.

    • Для лучшего погружения в вопрос можно обратиться к ресурсам, описывающим то, как мыслят и действуют хакеры. Пользователи Quora рекомендуют лучшие, по их мнению, материалы на эту тему. Существуют и книги по так называемому этичному хакингу. Они также помогают защитить себя посредством практического анализа уязвимых мест и понимания соответствующих методов обхода систем безопасности.

    P.S. Еще больше полезных материалов по теме в нашем корпоративном блоге:


    1cloud.ru

    183,34

    IaaS, VPS, VDS, Частное и публичное облако, SSL

    Поделиться публикацией
    Комментарии 30
      +1
      Забил свою почту в haveibeenpwned, оказалось, что почта засветилась в одном из недавних сливов. Не уверен, что 2fa поможет, если кто-то очень сильно захочет поломать, но в том числе и пароль все-таки пойду сменю
        0
        Тоже оказалась засвечена почта. Знать бы еще какой именно пароль был скомпрометирован, а я уже не помню, мог он повторяться он на других ресурсах или нет.
          0
          На том же ресурсе есть возможность проверки пароля haveibeenpwned.com/Passwords
            0
            Есть такая фича.
            «If you write us an email to verification@4iq.com with subject line: 'Password Exposure Check' we will respond with the truncated list of found passwords for that email.»
            Присылает пароли типа ******abc по вашему адресу почты.
            На мой адрес нашлись три пароля, два из которых были когда то в использовании.
            К счастью актуальные пароли вроде бы еще не засветились)
          0
          Забил свою почту, которой лет 10, на которой сотни аккаунтов — в сливе не замечен.
            0
            Недавно (пару недель как) на основную почту начал приходить спам, где меня величали тем самым именем и ником, которые были у меня ВК в 2010-2011 (или 2012, не помню точно уже). Сразу возникло подозрение о том, что сперли старую базу. Вбил почту в базу на сайте — и точно, засвечена в утечке данных у ВК.
              0

              Выкачал эту базу несколько дней назад. Нашёл там свои устаревшие пароли от Badoo, LinkedIn, MySpace, Вконтакте и LostFilm.TV. Нашёл старый, но ещё актуальный на многих ресурсах пароль жены. Сделал онлайн-проверялку для знакомых — себя там нашли около половины, наверное. Почти все устаревшие, но некоторые и с действующими попали… В общем, нужно чаще менять пароли и держать их разными в разных ресурсах :)

                +1

                Ссылочку скиньте пожалуйста

                  +2

                  Дискоеймер: Линк не мой, сам не выкачивал и не проверял
                  magnet:?xt=urn:btih:7ffbcd8cee06aba2ce6561688cf68ce2addca0a3&dn=BreachCompilation

                    0
                    Правильный и поиск там есть.
                      0

                      Благодарю вас, друзья!

                        0
                        Скачал, проверил. Нашел пару ящиков со старыми паролями. НО на haveibeenpwned.com нашлись еще несколько ящиков которых нет в этой базе!
                        Получается базы отличаются. Если есть ссылка на более полную, скиньте пожалуйста.
                    0
                    Мой аккаунт скомпрометирован на 10 сайтах. Тьфу-тьфу-тьфу, пока ничего не взломали.
                      0

                      Свои аккаунты тоже нашёл, но судя по паролю увели лет 10 назад, если не больше. И ещё странно, с моей почтой 4 записи, 2 пароля из них совсем старые, а два я точно никогда не использовал.

                        +3
                        два я точно никогда не использовал

                        Это могут быть коллизии.
                          +1

                          Судя по тому что эти "левые' пароли очень простые, кажется что эти данные введены искусственно, например чтобы раздуть объем базы. Мотив, например, такой — чем больше база, тем дороже её можно продать…

                        0

                        Цитата: "… нет очевидной причины, почему злоумышленники удерживают украденные данные годами, а после пытаются продать, — все зависит от их личных мотивов."


                        По-моему, очень даже есть причина: вначале выжали что могли сами из базы, например попробовали увести другие данные и аккаунты, связанные с украденными, поспешили от их имени и т. д., а потом уже продали.

                          0

                          Прошу прощения, поспешили = поспамили.

                          0
                          Запускаю под Windows7 — окно с результатами открывается на долю секунды. Что сделать, чтобы оно не закрывалось сразу?
                            0
                            Не знаю о чём ты, но возможно ты запускаешь какое-то консольное приложение, которое сразу закрывает своё окно. Если так, то открой cmd.exe (win + R -> cmd.exe -> enter), перейди в директорию с программой (cd /D PATH) и открой там
                              0
                              Нет, я именно так и делаю (перехожу в директорию, запускаю query.sh, окно с ответом закрывается немедленно)
                                0
                                А, речь про ту базу, query.sh написан на баше и под виндой не должен работать(ну разве что в десятке в linux subsystem), а искать по базе можно вручную, если ник shuhray, то нужно перейти в data->s->h и найти запись в файле u.
                            0
                            Нашел одну свою столетнюю почту с паролем 10-летней давности. НО! и в почте (до @), и в пароле не хватало одного символа. Не припоминаю, чтобы я так изголялся при регистрации на каком-либо сервисе.
                            Поэтому, наверное, стОит искать (руками или query.sh) не точное соответствие, а большим куском.
                              0
                              grep -a -i -r 'your_phrase'
                                0
                                К сожалению, не могу править комментарий. Опечатался: "… а небольшим куском"
                                +4
                                Неужели кто-то ещё не хеширует пароли?
                                  +1
                                  А за что минусите то человека? Многие отечественные ресурсы хранят пароли плейн-текстом и высылают их в письмах при запросе «Восстановить пароль». Пригорает от такого знатно, особенно если используешь пароли типа prefix + core(постоянное) + suffix.
                                    +1
                                    значит, не только я так формирую пароли…
                                  +1
                                  В базе встречаются эккаунты с сервисов:
                                  irr.ru
                                  ladyauto.ru
                                    +1
                                    хранить пароли в плейнтексте — высшее зло! Никаких напоминаний паролей, только смена.
                                    hotmail, yahoo, gmx.de, web.de… вроде крупные сервисы, а реально лажают очень круто.
                                    Зато где-то там на конференциях и книгах пишут и учат как нужно строить безопасность.

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Самое читаемое