Security Week 23: утечка паролей «Живого Журнала»

    В среду 27 мая в сервисе Haveibeenpwned, отслеживающем утечки паролей пользователей, появилась база пользовательских логинов и паролей для сервиса LiveJournal. Утечка данных предположительно произошла в 2014 году.

    Впрочем, по словам Троя Ханта, основателя сервиса Haveibeenpwned, он получил несколько свидетельств о наличии в базе данных по аккаунтам, созданным позже. Судя по кусочку базы, опубликованному на сайте Bleeping Computer, в открытый доступ попали адреса электронной почты, ссылки на профили и пароли открытым текстом примерно 30 миллионов пользователей. Изначально пароли были, как предполагается, представлены в виде хэшей MD5.

    Слухи об утечке базы паролей LiveJournal ходили еще в прошлом году. Хотя представители блог-хостинга не сообщали об взломе, аутентичность данных подтверждена, в том числе владельцами сервиса Dreamwidth. Эту платформу, основанную на схожей кодовой базе, в свое время часто использовали для копирования блогов. На стороне Dreamwidth подтвердили рост числа атак типа credential stuffing, когда множество аккаунтов пытаются взломать через пароли от другого сервиса. Публикация на сайте Bleeping Computer достаточно подробно описывает, как именно злоумышленники используют утечки паролей.

    Очередная утечка — хороший повод посмотреть на ситуацию со стороны пользователя. Один из авторов дайджеста получил уведомление от сервиса Троя Ханта. Там же можно проверить (если вы ему доверяете), есть ли конкретный пароль в базе утечек — актуальный пароль для ЖЖ таким способом не находится. В общем случае, если за последние пару лет вы меняли пароль на LiveJournal или другом сервисе, пострадавшем от утечек базы паролей, вы почти в безопасности.

    Почему почти? Дело в том, что старый пароль может подойти к другим сервисам, если вы использовали его повторно или если давно забыли, что регистрировались на каком-то сайте. Пример с Dreamwidth показателен: одно время было модно делать бэкап дневника на этом сервисе, бесплатно и в пару кликов. О такой копии легко забыть, а злоумышленники, выходит, могут получить к нему доступ. В определенной опасности находятся давно заброшенные блоги, которые могут подвергнуться вандализму. Утечка личной информации из подзамочных постов — тоже не самый приятный сценарий.

    Bleeping Computer упоминает и другие примеры атак. Помимо взлома аккаунтов на пострадавшем сервисе пароли используют для шантажа в спам-рассылках. Типовой сценарий: вам приходит письмо с сообщением о якобы взломе вашего компьютера, в качестве доказательства приводится пароль из базы утечек. Наибольшей опасности подвержены пользователи, использующие один пароль для всего, не менявшие его никогда: каждый подобный инцидент повышает шансы на тотальную утечку персональных данных, вплоть до кражи средств с банковского счета.

    LiveJournal — не единственный сервис, чьи базы пользовательской информации попали в общий доступ. В условной категории социальных сетей в разное время пароли крали у сервисов 500px в 2018 году, AdultFriendFinder и Badoo в 2016-м, imgur в 2013, LinkedIn и Last.fm в 2012. Утечку LiveJournal отличает разве что длительная выдержка базы: после взлома, который произошел в период с 2014 по 2017 год, пароли пользователей не попадали в публичный доступ до мая 2020-го.

    Это, конечно, не исключает перепродажу информации на черном рынке. Защищенность пользователей во многом зависит от провайдеров цифровых услуг, и здесь остается только пожелать всем по возможности не хранить пароли открытым текстом. Но реальность такова, что и пользователям необходимо принимать меры. Использовать пароли трехлетней давности где бы то ни было — явно не лучшая идея.

    Что еще произошло:
    Интересное исследование «Лаборатории Касперского» об атаке на промышленные предприятия. В публикации речь идет о начальном этапе подобных атак — попытках проникнуть в традиционную сетевую инфраструктуру, мало чем отличающуюся от других. Описанная атака явно целевая, использованы фишинговые письма с вредоносными вложениями (XLS-файл с макросами) и —неожиданно — стеганография: скрипт загружает изображение с публичного хостинга, чтобы обойти средства защиты, и декодирует из него следующую ступень вредоносного ПО.

    Свежая версия джейлбрейка UnC0ver для устройств на базе iOS работает даже с устройствами под управлением iOS 13.5. Авторы инструмента для взлома упоминают наличие некоей уязвимости нулевого дня.

    Специалисты компании Radware провели анализ ботнета Hoaxcalls. В отличие от многих других криминальных операций по массовому взлому сетевых роутеров и других устройств, он использует не перебор паролей, а набор эксплойтов к распространенным уязвимостям во встраиваемом программном обеспечении. Другой ботнет использует легитимную систему сбора телеметрии китайской компании Baidu для передачи данных с зараженных систем на командный сервер.


    ИБ-подразделение Microsoft предупреждает о группировке вымогателей, известной как Ponyfinal. Она специализируется на корпоративных целях. В схеме атаки знакомые мотивы: взлом слабых паролей, ручной контроль жертв, кража данных перед шифрованием. Последнее дает возможность требовать выкуп дважды — для восстановления информации и для того, чтобы ее не обнародовали.

    Любопытное исследование компании Veracode (новость, исходник в PDF). После анализа 85 тысяч приложений в 70% из них найдены те или иные баги, ранее обнаруженные в компонентах с открытым исходным кодом. Разработчики мобильного и десктопного софта массового используют свободно распространяемый код при разработке, но не всегда закрывают уже известные уязвимости в своих сборках.
    «Лаборатория Касперского»
    Ловим вирусы, исследуем угрозы, спасаем мир

    Комментарии 3

      –1
      ох уж эти утечки
        +2
        Вот ещё очень интересное исследование по поводу утечки паролей «Живого Журнала». Короче, если вам казалось, что в ЖЖ много ботов — то не казалось:

        «Судя по охвату и содержанию — e-mail, логин в ЖЖ, пароль — это не какая-то там синтетическая база, собранная из разных источников, а самая что ни на есть база ЖЖ, по состоянию приблизительно на 2017 год.

        Это означает, что либо сервис сам хранил все пароли в открытом виде, либо где-то внутри их серверного кода стояла закладка, старательно собиравшая и отправлявшая их налево. И то, и другое — совершенно за гранью добра и зла. Равно как и сегодняшняя реакция ЖЖ, который где-то в середине дня начал рассылать пользователям вежливые письма в духе «вы давно не меняли пароль, но мы беспокоимся о вашей безопасности и рекомендуем сменить». Обратили, короче, позорный недуг в подвиг.

        Но мы не об этом. Действуя в своём профессиональном интересе, ваш автор построил из базы словарь паролей и отсортировал их по встречаемости. И оказалось, что помимо типичных qwe123 в TOP 100 базы входят пароли, которые явно принадлежат огромным ботофермам. Ближайшее рассмотрение подтвердило — все эти аккаунты были зарегистрированы либо на один мэйл, либо на мэйлы в одном домене. Из сотни топовых паролей таких, принадлежащих массовым регистрациям, — около 30. Самая крупная ферма (и по совместительству самый часто встречающийся пароль в ЖЖ — Million2) владела 143 тысячами аккаунтов. Из владельцев ферм сходу удалось обнаружить некую компанию black pr studio, <…> и фрилансера Костика из города Гомель, который увековечил в пароле своё имя (4500 аккаунтов). Костик, кстати, творчески генерировал имена своим ботам, подделываясь под существующих пользователей. Так среди первых же зарегистрированных им логинов были drufoi, frugoi, odessist и т.п.

        Морали тут, собственно, никакой нет, кроме необходимости немедленно поменять пароль, даже если вы туда сто лет не ходили. Ну и мониторить дальнейшие новости — а то мало ли какая там сейчас ситуация с хранением паролей».

          0
          Тоже получил это уведомление. Вот только не понимаю, как на него реагировать: пароля от LJ у меня никогда не было (иначе бы нашелся в сохраненных паролях в браузере), только привязка гуглового аккаунта.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое