Не пользуйтесь сервисами онлайн-проверок при утечке персональных данных

    К публикации поста побудила информация про очередные крупные утечки персональных данных в сети, хотел оставить просто комментарий, но в итоге пришел к выводу, что проблему стоит раскрыть чуть обширнее.


    Все совпадения случайны, текст ниже просто плод бредового размышления уставшего от работы коня в вакууме и имеет цель повышения уровня информационной безопасности и гигиены среди пользователей в сети.


    Не исключено, что публичные онлайн-сервисы для проверки подтверждения утечки данных имеют также цель повышения стоимости таких данных для вторичных продаж. Особенно если структура утекших данных не плоская, а прошедшая через агрегацию с другими целевыми источниками, т.е. нечто большее, чем email => password.


    К примеру допустим, что существует результат агрегации утекших данных по различным базам:


    {
      "firstServiceName.com" : {
        "type" : "emailService",
        "properties" : {
          "email1@example.com" : "password1",
          "email2@example.com" : "password2"
        }
      },
      "secondServiceName.com" : {
        "type" : "paymentsGate",
        "properties" : {
          "email" : "email2@example.com",
          "type" : "Visa",
          "fullName" : "Ivan Ivanov",
          "cardId" : "XXXX-XXXX-XXXX-XXXX"
          "cvc" :  "12345",
          ...
      },
      ...
    }

    Далее можно сделать первичную оценку потенциальной стоимости данных для злонамеренных лиц. Очевидно, что стоимость данных secondServiceName.com потенциально выше, чем для firstServiceName.com. Далее формируется логика дальнейшей монетизации данных, обычно пути два.


    1) Примитивный и безопасный. Из данных с малой стоимостью выбирается плоские данные типа "email1 => password1", формируется своеобразная прикормка. Далее эти плоские данные агрегируются в сборник и на непубличных специализированных сайтах публикуются "утечки". Если потенциальная стоимость теневых данных (secondServiceName.com, ...) большая и ограничена в сроке жизни (cvc, хэши от cvc для конкретных провайдеров), то публикации придается дополнительная "публичность", максимально возможная, в том числе может проводиться "рекламная" акция через социальные сети и прочие доступные инструменты.


    2) Сложный и опасный. То же самое, что и в 1), только авторами/бенефициарами монетизации данных дополнительно создаются те самые сервисы проверки утечки данных. Это либо путь новичков, либо когда куш от потенциальной монетизации данных огромен.


    Целевая аудитория довольно инертна и не будет заморачиваться поиском тех же торрентов с содержимым "утечки" данных, потому рано или поздно пользователи приходят на специализированные сайты для проверки утечки данных и далее производится запрос на проверку.


    Если пользователь не нашел ничего, данные о его запросе на проверку собираются в отдельную базу. Этот пользователь живой. По сопоставлению дат начала кампании с публикацией и датой запроса можно оценить живость пользователя. Да, тот факт, что результат проверки был выдан пустым вовсе не означает, что его данные не находятся среди утекших.


    Далее, если тип структурированных данных довольно ценен и содержит прямые и простые способы "монетизации" (см. данные secondServiceName.com), также если пользователь активен и проводил поиск, то дальнейшая вероятность монетизации данных снижается, т.к. могут быть сменены пароли, заблокированы карты и прочее. Бенефициары утечки такие данные быстро продают как отдельные базы тем же кардерам и прочим злоумышленникам по гипотетической цене X.


    После прохождения определенного времени с момента организации утечки, формируется diff по данным, которые не были запрошены через проверки и далее либо сохраняются в архив для последующих агрегаций с новыми утечками, либо, если тип данных имеет способ длительной монетизации — такие данные частями также продаются, но по гипотетической цене 3X.


    Поэтому, если вам действительно важна ваша безопасность, то имеет смысл не пользоваться популярными сервисами, компании-владельцы которых были ранее уличены в потере пользовательских данных. Либо совсем, либо максимально ограничить себя в распространении персональной информации. Если после оплаты товара на каких-либо сайтах вам приходит электронный чек, в URL которого встречаются переменные типа cvcHash, то имеет смысл не покупать через такие сервисы. Таких к счастью осталось мало и они представлены только в неблагополучных регионах планеты.


    При возникновении глобальных утечек не рекомендуется использовать онлайн-сервисы проверок и как-либо проявлять активность через поисковики (google). Если вы довольно популярная и публичная персона, то теоретически можно через таргетированную рекламу (персонализированная атака) определить ваше желание произвести такую проверку.


    При подозрении на утечку данных или же при массовых (громких в СМИ) публичных утечках, которые могут привести к потере ваших данных — необходимо сменить пароли на таких целевых сервисах, через https с визуальной проверкой информации в сертификате безопасности и без использования дополнительных сетевых уровней (tor/obfs и прочeе).


    Мир технологий постоянно развивается, потенциальные способы причинить кому-то вред в сети также развиваются. Всегда следите за своей безопасностью в сети и не публикуйте ничего ценного, что могло бы привлечь внимание злоумышленников и в будущем вам навредить. Обязательно обучайте безопасному поведению в сети своих детей, близких и знакомых.

    Share post

    Comments 76

      +26
      – Учитель, я подобрал хороший пароль, которого не может быть в словарях.

      Инь Фу Во кивнул.

      – Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.

      – Теперь есть.
      +2
      Как тогда вести себя в ситуациях, когда стало известно об утечке? Менять сразу все важные пароли?
        0

        Прошу прощения. Видимо, изначально читал по диагонали и не заметил

          0
          Если это возможно, узнать список сервисов, откуда произошла утечка. Далее, если есть пересечение с сервисами, которыми вы пользовались в радиусе 5 лет или же имеющих связь с платежными гейтами, ситемами внешней аутентификации и прочего важного — менять везде пароли по правилам/требованиям таких сервисов к безопасности. То есть незапоминаемые длинные пароли из рандома, сохранение в удобном для вас и неудобном для остальных месте.
          Менять пароли, не уведомляя при этом никого о своих намерениях.

          Ширина радиуса захвата по времени в основном зависит от юрисдикции сервиса, допустившего утечку (если ваша цель это иск к такому сервису). В целом это 3-5 лет для ЕС/США, при желании актуальную информацию про это можно узнать у профильных по такой теме юристов. Также это зависит и от вашей активности в сети.
            +1
            Использовать везде разные пароли.
            1. Хранить в keepass и ему подобных.
            2. Придумать некий алгоритм на основе названия сервиса\домена.
              +2
              №2 — Спорный подход. Такой алгоритм скорее всего будет достаточно прост, чтобы воспроизводить его в уме и, в случае целенаправленной атаки на вас, компрометация пароля от одного случайного сервиса сильно облегчит задачу открыть остальные.
              Можно конечно в качестве пароля использовать хеш названия сервиса посоленный строфой из любимого стишка, но вспомнить такой пароль без «калькулятора» будет не реально
                0
                У меня на простых и проходных сервисах используется простой нескомпромитированный пароль.
                На постоянных простых сервисах (форумы, блоги) пароль с простым алгоритмом.
                На важных сервисах в алгоритм добавляются ASCII символы.
                На сервисах связанных с финансами, работой и важной информацией иной алгоритм. Для редко используемых хранятся сгенерированные в keepass с ASCII символами.

                Соц. сетями не пользуюсь.
                  +2
                  А зачем какие-то алгоритмы, если пароли хранятся в keepass? В таком случае запоминать их не нужно. Намного логичнее генерить рандомные пароли там же.
                    0
                    keepass неудобно использовать в том плане, что приходится отдельно запускать или настраивать на телефоне. Так же нужно синхронизировать файлы, чтоб везде была актуальная база.
                      0
                      Ну, используйте что-то, что не требует стольких телодвижений :) Какой-нибудь 1Password или вообще тут некоторые за iCloud Keychain топлят.
                        0
                        Синхронизация настраивается один раз и дальше работает сама. Не вижу никаких проблем или причин использовать более уязвимые сервис, как предлагают ниже.
                    0
                    Хорошая идея, спасибо! Прямо руки чешутся написать свой такой калькулятор.
                      0
                      Пользуйтесь на здоровье. Вопрос только в том, что это должен быть приватный калькулятор, иначе его ценность моментально становится равной нулю. А как только он становится приватным (читай офлайн), возникают вопросы переноса между устройствами, удобства ввода и т.д. и т.п.
                        0
                        Разумеется. А файлы keepass тоже надо как-то переносить, это основная проблема подхода такого рода. С калькулятором же можно использовать какую-либо общеизвестную функцию и, при желании, быстро воспроизвести алгоритм даже при утере калькулятора.
                          0
                          А в чём проблема переноса файла базы кипаса? Кинул в облако любое и забыл. Она же все равно шифрованная. Зачем выдумывать проблему там где её нет?
                            0

                            Возможны коллизии, если отредактировать базу предварительно не обновив её из облака. В зависимости от настроек облака всплыть это может в самый неподходящий момент

                              0
                              Не знаю как если прямо из облака открывать, но я использую плагины синхронизации, он скачивает базу и объединяет локально. Корректно работает даже если сделать правки на разных устройствах.
                        0
                        Master Password давно уже придуман и написан…

                        В уме его, конечно, не рассчитаешь, но с приложениями под любую платформу оно и не нужно.
                    0
                    Об утечке узнаешь, когда уже войти в аккаунт не можешь, т.к. пароли поменяли ребята с ip из Уганды.

                    Представьте ситуацию (основанную на письмах, которые мне приходят по поводу взломанного имейла (хорошо хоть она для всяких фейковых аккаунтов)) — вы сидите, никого не трогаете.
                    В один момент просыпаетесь утром, а войти в почту не можете, пароль неверный.
                    «Взломали!» — подумали вы.
                    Кое как восстанавливаете, вспоминая ответы на секретные вопросы/получая смски на телефон и т.д. Восстановили, сидите дальше спокойно. Проходит пол-года, год. Бац, приходит письмо «Алерт! ер имейл вос хакд». Открываете, а там «мы поломали ваш имейл, ваш пароль был ХХХ (причем пароль реален) вот крипто-кошель, переводи $500, иначе разошлем твоим контактам, которые мы предварительно сохранили, твои дроче-фотки и т.д.».
                    И тут вы вспоминаете, что с пол-года назад вашу почту поломали, что дает реальную угрозу о том, что действительно ваши контакты и вся переписка была попросту скачана и с ней могут производиться дальнейшие манипуляции.

                    Риторический вопрос — помогла ли вам смена пароля?
                      0
                      Имеет смысл проверять почту через десктоп/мобильный клиент с отключенным исполнением javascript и с запретом загрузки ресурсов, также с запретом на отображение/исполнение inline ресурсов через base64. Также не стоит открывать письма от подозрительных отправителей, но обязательно проверять заголовки письма, как именно оно к вам шло, кто реальный отправитель и прочее. Кнопки «сделать все классно и не напрягать меня» к сожалению пока не придумали.
                      Смена паролей никогда не поможет при недостаточно серьезном отношении к вопросам безопасности личных данных.
                        0
                        Думаю что помогла. Во-первых, в почте в открытом виде что-либо ценное хранить не стоит. Во-вторых, конкретно в моей случае, я просто поменяю MX-запись у регистратора домена на другой почтовый сервис, а парень из уганды пусть делает с моим паролем все что хочет. Тут главное побыстрее это обнаружить, чтобы он не успел через мою почту поменять пароли на каких-либо важных сервисах, впрочем даже если он успеет, то после смены MX я снова их поменяю. А доступ к управлению MX у меня закрыт учеткой, не привязанной к почте: )
                          0
                          Вы немного не поняли. У хацкера на руках архив ваших переписок, который он скачал, зайдя в почту, пока вы спали. Если это рабочая почта, то из полей «To:, CC:» он достает адреса ваших контактов и пишет какое-нибудь злое письмо от вашего имени (разумеется с подменой, как будто это реально от вас) этим контактам.
                          Интересно посмотреть, если например директору будут письки присылаться от вашего имени))) Или вообще кидать спам на DL всей организации, попросту чтоб подставить вас.
                          Смена пароля в этом случае на последствия не повлияла, у хацкера на руках все ваши контакты и он может творить любую дичь, а ты ходи оправдывайся.
                            0
                            В принципе, адреса контактов можно найти и безо всякого хакерства. Скажем, если известно место работы жертвы, то найти е-мейл директора уже не проблема. И будет хакер слать письки от имени жертвы директору. Ну и что?
                              0
                              разумеется с подменой, как будто это реально от вас

                              Такие письма доходят с большим трудом, а при некоторой настройке, вообще не будут приниматься всеми уважающими себя серверами.
                          0
                          Забыть про утечку паролей и пользоваться двухфакторной аутентификацией, но последний фактор должен быть не SMS с кодом, а TAN таблица или приложение, написанное сервисом. Так же регулярно осуществлять резервное копирование данных.
                            0
                            Скачать базу утекших паролей и самому проверить?
                          0
                          И про наркотики не гуглите! А то спросят, чего интересуешься
                            +7
                            Как тебя бы звали у татар?
                            Имя: номер банковской карты
                            Фамилия: срок действия карты
                            Отчество: код сзади карты
                              +6
                              Как насчет Have I Been Pwned и анонимной провеки когда пароль сначала хешируется и отправляется не весь хеш, а только первые четыре символа, а в ответ возвращаются все пароли, которые подходят под начало хеша?
                                0
                                Анонимных проверок не существует. Можно впоследствии сделать агрегацию со списком IP адресов и также сохранить запрос проверки с частичным хэшем. Особенно если такой IP адрес относится к небольшой подсети/AS и довольно долго был закреплен либо за каким-то договором (домашние провайдеры, бизнес-центры, крупные магазины, промышленные предприятия), либо к чему-то географически. Ну а далее проблема может быть решена через "радужные таблицы" и их специализированные модификации (по длине хэша и даже степени символьной «энтропии» оригинального пароля с учетом раскладок клавиатур).
                                Даже если предположить, что подобный сервис проверки идеально чист на предмет заинтересованности в какой-либо монетизации данных и если он популярен — то для злоумышленников подобные сервисы будут являться довольно хорошим мотиватором для получения контроля над подобным сервисом.
                                  –4
                                  Хотелось бы услышать мнение автора минуса к комментарию, с чем так сильно не согласны, что аж смотивировало зайти и нагадить в карму? Или вы ожидали какого-то смешного анекдота/картинки?
                                    –3

                                    Кто вы, а кто Troy Hunt. Ему верят, а вам и в карму можно подгадить. Человеческий фактор ;-)


                                    Я как-то критиковал права, которые требует себе Signal и заочно обвинял Moxie Marlinspike в продажности. Получил тот же самый результат.


                                    Мы с вами как та моська, которая лает на слона и удивляется, что получила щелбан.

                                    +1
                                    Ну а далее проблема может быть решена через «радужные таблицы» и их специализированные модификации
                                    Объясните, каким образом помогут радужные таблицы, если у злоумышленника есть только первые четыре символа хэша?

                                    Если пароль уже утек, и совпадения есть, то всё равно пароль менять нужно, а если совпадений нет, то по четырем символам ничего сделать нельзя.
                                      0
                                      Совпадение по четырем символам оригинального пароля вам вернет десятки тысяч совпадений по хэшам если исходные данные часто встречаются. И что даст такая проверка? Ничего по сути, нужно использовать больше символов. Передавая больше данных о хэше с определенного момента можно его подобрать через те же таблицы и получить искомые данные.
                                        0

                                        Какие радужные таблицы вы будете строить для систем где пароль хешируется с уникальной солью для каждого пользователя?

                                          0
                                          С просоленными данными это скорее всего не сработает, либо при наличии избыточной информации в виде части соли и алгоритма использования соли с типом шифрования, что может быть получено, к примеру, в случае взлома целевого сервиса проверки.
                                            0

                                            В случае если в бд хранится хеш и уникальная соль для каждого юзера. Даже слив дампа такой бд вам мало поможет. Радужные таблицы придется строить для каждого отдельного пользователя. Никто такие ресурсы тратить не будет

                                              0
                                              При наличии уникальных солей для каждого блока данных многое упирается в алгоритм работы, а также в безопасность хранения данных для расшифровки таких уникальных солей. При целенаправленной атаке со взломом вполне есть вероятность потерять как базу с шифрованными данными, так и код алгоритма шифрования и дополнительные источники данных для расшифровки уникальных солей.
                                              Вопрос лишь в рациональности затрат на организацию получения доступа к таким данным. Но да, это уже серьезные заморочки и редко когда применяются, особенно массово.
                                          0
                                          Однако именно такая проверка и организована на Have I Been Pwned. И даёт либо совпадение, либо нет.

                                          Понятно, что сам веб-сайт может быть скомпроментирован и лучше действительно не вводить свои пароли где бы то ни было. Но опять же, в последнем топике о взломе было достаточно много скриптов, где вы через API HIBP можете проверить свои пароли (сравнивая ответы на своей стороне).
                                            0
                                            Да, конкретно сервис Troy Hunt может иметь высокий уровень доверия с учетом работы с ним через API с передачей части хэша не более трети от общего числа символов, либо еще меньше, если оригинальный пароль может быть подобран через словари.
                                            Сервис Have I Been Pwned я бы не стал рассматривать как надежный, т.к. он формирует запрос к API с открытым упоминанием запрашиваемого email-а в URL:
                                            api.haveibeenpwned.com/unifiedsearch/YOUREMAIL. Также, если пользоваться этим сайтом, то при запросе идет передача данных третьим лицам в dc.services.visualstudio.com/v2/track.
                                              0
                                              Под сервисом Troy Hunt понимается исключительно api.pwnedpasswords.com/range/.
                                                0
                                                У него же можно скачать оффлайн файл с хэшами утекших паролей к себе. И проверять локально. Эх, кто бы написал инструкцию для чайников, как сделать себе для MySQL проверку. В сети нашел только для MS SQL Server.
                                        0
                                        В вопросе речь шла о вполне конкретном сервисе конкретного специалиста Troy Hunt, где излагается методика анонимизации. Мы же не говорит о случаях, когда на ПК заражен кейлогером и т.п.
                                          0
                                          Про Troy Hunt ответил чуть выше habr.com/en/post/436520/#comment_19630404. Ситуации со взломами ПК пользователей не относятся к сути вопроса.
                                      +11
                                      Как-то так

                                      image
                                        0
                                        а какжэ срок действія?
                                          0

                                          А зачем cvc? Многим сервисам достаточно либо только cvc либо только срока действия без cvc. Пример — Amazon.

                                            0
                                            В случае параноидального или простимулированного финансово отдела мониторинга банка начинают просить подтверждения операции по карте без cvc через интернет.
                                        +4
                                        «Паранойя — качество, отсутствие которого означает профессиональную непригодность системного администратора»
                                          +2
                                          Согласен. В принципе, критическое восприятие информации и способность к анализу как навыки полезны во многих других отраслях, да и повседневной жизни в целом.
                                          +2
                                          Т.е. сайт «злоумышленной проверки» может специально особо ценные аккаунты отдавать как «не утекшие», тем самым успокаивая человека, а себе записывать как «живые»? Занятная идея…
                                            +1
                                            Предположим ситуацию, что злоумышленник со специализацией по монетизации банковских данных является заказчиком подобного сервиса онлайн-проверки. Сервис вполне заинтересован в наличии механизма, способного убедить потенциального покупателя в том, что клиент «живой»: предоставить, к примеру, тот же IP адрес, откуда был сделан запрос, время, что-то еще. Злоумышленник, в свою очередь, сможет использовать такие дополнительные данные как для подтверждения качества данных сервиса (сопоставление через соцсети/иные открытые данные популярных сервисов), так и для дальнейшего анализа географии будущих жертв.

                                            Потенциальную стоимость данных можно оценить различными способами: через популярность, к примеру, роликов с youtube-канала, по характеристикам какого-то иного, но публичного бизнеса, вроде монетизированных групп в тех же соцсетях, продаж авто, в принципе чего угодно. Логично предположить, что действия сервисов такой проверки данных заинтересованы не в раскрытии факта утечки, а в подтверждении исключительно для себя ценности таких данных. Если данные относятся к высокомонетизируемой персоне, нет никакого смысла сообщать ей о проблеме. Наиболее дешевым персонам можно выдать часть правды, исключительно для поддержания доверия к подобному сервису и делая специализированный PR в сети только по дешевым данным.
                                            0
                                            Комментарии с анекдотами или картинками нынче ценятся выше, чем любая информация, предлагающая хоть как-то напрячь мозг и подумать по теме. Это печально.
                                              0
                                              ИМХО на самом деле не стоит размышлять или тем более проверять есть мое мыло с паролем в утекшем списке или нет. Меняем пароль и точка. А еще лучше использовать двухфакторную аутентификацию. Ибо мотивы человека, сделавшего сервис по проверке, ясны только ему самому. Да и у него эту базу, с уже подтвержденными «живими» мылами тоже украсть могут.
                                                0
                                                Верная мысль. Меняем молча, не ставя в известность кого-либо, не проверяя где-либо через сервисы.
                                                Многофакторная аутентификация во многом зависит от безопасности дополнительных каналов обмена с пользователем и также часто компрометируется (первичная+SMS/email). Также очень важен интервал времени, за который проходит аутентификация по всем факторам. Чем быстрее это происходит и меньше живут врЕменные хэши, тем лучше. У многих банков хэш для вторичной аутентификации хранится не более 2 минут, некоторые банки также разрешают пользователям делать запрет на использование каналов SMS/push в качестве вторичной проверки.
                                                  0
                                                  Недавно напоролся лично на инициативу от GitHub, когда мои данные, не спрашивая меня, слили в HaveIBeenPwned. Так что иногда решение «проверять или нет», к сожалению, принимаем не мы, а некто из третьих лиц, движимый «благими намерениями».
                                                    0
                                                    О каком событии идет речь, не подскажете?
                                                      0
                                                      Вверху страницы на гитхабе отобразили плашку, что адрес почты находится в одной из слитых баз на HaveIBeenPwned. Дело было примерно в то время, когда сделка о продаже Microsoft проходила. Это может значить, что они все аккаунты так проверяли, или только какую-то часть.
                                                +3
                                                  0
                                                  А можно в принципе не ставить вопрос доверия какому-либо сервису и решить вопрос с безопасностью самостоятельно, так или иначе при подтверждении утечки смену паролей нужно будет провести. Использование сторонних сервисов (ожидая, что все ок) в таком случае можно объяснить банальной ленью и ни к чему хорошему обычно это не приводит.
                                                    0
                                                    Которая (браузер) хранит пароли, хешированные однократным SHA-1, чего в 2019 совершенно не достаточно?
                                                    –3
                                                    ботнет во всей красе — автора актівно мінусуют)
                                                      0
                                                      Классическая статья-пустышка «меняйте пароли и не сорите личной информацией»… что я должен был из неё вынести?
                                                        +1
                                                        Через сайт согласен, есть вероятность, через api нет.
                                                          0
                                                          Инструмент проверки — двоякое решение. С одной стороны оно позволяет логировать все проверки, и обогащать датасет другими полезными атрибутами: страной, тех.характеристиками девайса и пр.
                                                          С другой, позволяет верифицировать пользователю самого себя, то на сколько он разумно использует интернет.

                                                          Тут все зависит от «добропорядочности» владельца сервиса, а это, увы, слабо контролируемая зона.
                                                            +1
                                                            Вчера решил поиграться на запасной почте и через ~5 часов после регистрации на сайте haveibeenpwned.com получил вот такое письмо:
                                                            image
                                                            Вполне вероятно, что данный ресурс сайт и есть сборщик логинов и паролей, ни в коем случае не заводите реальные данные!
                                                              0
                                                              Хм, менять пароли на критичные сервисы через тор — из разряда вредных советов. Владелец выходного узла может попытаться осуществить mitm в ssl, украсть куки авторизации, модифицировать трафик и много чего ещё. А вот цель далеко не ясна при этом.
                                                                0
                                                                "… необходимо сменить пароли на таких целевых сервисах, через https с визуальной проверкой информации в сертификате безопасности и без использования дополнительных сетевых уровней (tor/obfs и прочeе). ..."
                                                                  0
                                                                  Мой косяк)) Зрение уже не то
                                                                0
                                                                Чисто на массовую панику был акцент

                                                                Only users with full accounts can post comments. Log in, please.