В среду 27 мая в сервисе Haveibeenpwned, отслеживающем утечки паролей пользователей, появилась база пользовательских логинов и паролей для сервиса LiveJournal. Утечка данных предположительно произошла в 2014 году.
Впрочем, по словам Троя Ханта, основателя сервиса Haveibeenpwned, он получил несколько свидетельств о наличии в базе данных по аккаунтам, созданным позже. Судя по кусочку базы, опубликованному на сайте Bleeping Computer, в открытый доступ попали адреса электронной почты, ссылки на профили и пароли открытым текстом примерно 30 миллионов пользователей. Изначально пароли были, как предполагается, представлены в виде хэшей MD5.
Слухи об утечке базы паролей LiveJournal ходили еще в прошлом году. Хотя представители блог-хостинга не сообщали об взломе, аутентичность данных подтверждена, в том числе владельцами сервиса Dreamwidth. Эту платформу, основанную на схожей кодовой базе, в свое время часто использовали для копирования блогов. На стороне Dreamwidth подтвердили рост числа атак типа credential stuffing, когда множество аккаунтов пытаются взломать через пароли от другого сервиса. Публикация на сайте Bleeping Computer достаточно подробно описывает, как именно злоумышленники используют утечки паролей.
Очередная утечка — хороший повод посмотреть на ситуацию со стороны пользователя. Один из авторов дайджеста получил уведомление от сервиса Троя Ханта. Там же можно проверить (если вы ему доверяете), есть ли конкретный пароль в базе утечек — актуальный пароль для ЖЖ таким способом не находится. В общем случае, если за последние пару лет вы меняли пароль на LiveJournal или другом сервисе, пострадавшем от утечек базы паролей, вы почти в безопасности.
Почему почти? Дело в том, что старый пароль может подойти к другим сервисам, если вы использовали его повторно или если давно забыли, что регистрировались на каком-то сайте. Пример с Dreamwidth показателен: одно время было модно делать бэкап дневника на этом сервисе, бесплатно и в пару кликов. О такой копии легко забыть, а злоумышленники, выходит, могут получить к нему доступ. В определенной опасности находятся давно заброшенные блоги, которые могут подвергнуться вандализму. Утечка личной информации из подзамочных постов — тоже не самый приятный сценарий.
Bleeping Computer упоминает и другие примеры атак. Помимо взлома аккаунтов на пострадавшем сервисе пароли используют для шантажа в спам-рассылках. Типовой сценарий: вам приходит письмо с сообщением о якобы взломе вашего компьютера, в качестве доказательства приводится пароль из базы утечек. Наибольшей опасности подвержены пользователи, использующие один пароль для всего, не менявшие его никогда: каждый подобный инцидент повышает шансы на тотальную утечку персональных данных, вплоть до кражи средств с банковского счета.
LiveJournal — не единственный сервис, чьи базы пользовательской информации попали в общий доступ. В условной категории социальных сетей в разное время пароли крали у сервисов 500px в 2018 году, AdultFriendFinder и Badoo в 2016-м, imgur в 2013, LinkedIn и Last.fm в 2012. Утечку LiveJournal отличает разве что длительная выдержка базы: после взлома, который произошел в период с 2014 по 2017 год, пароли пользователей не попадали в публичный доступ до мая 2020-го.
Это, конечно, не исключает перепродажу информации на черном рынке. Защищенность пользователей во многом зависит от провайдеров цифровых услуг, и здесь остается только пожелать всем по возможности не хранить пароли открытым текстом. Но реальность такова, что и пользователям необходимо принимать меры. Использовать пароли трехлетней давности где бы то ни было — явно не лучшая идея.
Что еще произошло:
Интересное исследование «Лаборатории Касперского» об атаке на промышленные предприятия. В публикации речь идет о начальном этапе подобных атак — попытках проникнуть в традиционную сетевую инфраструктуру, мало чем отличающуюся от других. Описанная атака явно целевая, использованы фишинговые письма с вредоносными вложениями (XLS-файл с макросами) и —неожиданно — стеганография: скрипт загружает изображение с публичного хостинга, чтобы обойти средства защиты, и декодирует из него следующую ступень вредоносного ПО.
Свежая версия джейлбрейка UnC0ver для устройств на базе iOS работает даже с устройствами под управлением iOS 13.5. Авторы инструмента для взлома упоминают наличие некоей уязвимости нулевого дня.
Специалисты компании Radware провели анализ ботнета Hoaxcalls. В отличие от многих других криминальных операций по массовому взлому сетевых роутеров и других устройств, он использует не перебор паролей, а набор эксплойтов к распространенным уязвимостям во встраиваемом программном обеспечении. Другой ботнет использует легитимную систему сбора телеметрии китайской компании Baidu для передачи данных с зараженных систем на командный сервер.
ИБ-подразделение Microsoft предупреждает о группировке вымогателей, известной как Ponyfinal. Она специализируется на корпоративных целях. В схеме атаки знакомые мотивы: взлом слабых паролей, ручной контроль жертв, кража данных перед шифрованием. Последнее дает возможность требовать выкуп дважды — для восстановления информации и для того, чтобы ее не обнародовали.
Любопытное исследование компании Veracode (новость, исходник в PDF). После анализа 85 тысяч приложений в 70% из них найдены те или иные баги, ранее обнаруженные в компонентах с открытым исходным кодом. Разработчики мобильного и десктопного софта массового используют свободно распространяемый код при разработке, но не всегда закрывают уже известные уязвимости в своих сборках.
Впрочем, по словам Троя Ханта, основателя сервиса Haveibeenpwned, он получил несколько свидетельств о наличии в базе данных по аккаунтам, созданным позже. Судя по кусочку базы, опубликованному на сайте Bleeping Computer, в открытый доступ попали адреса электронной почты, ссылки на профили и пароли открытым текстом примерно 30 миллионов пользователей. Изначально пароли были, как предполагается, представлены в виде хэшей MD5.
Слухи об утечке базы паролей LiveJournal ходили еще в прошлом году. Хотя представители блог-хостинга не сообщали об взломе, аутентичность данных подтверждена, в том числе владельцами сервиса Dreamwidth. Эту платформу, основанную на схожей кодовой базе, в свое время часто использовали для копирования блогов. На стороне Dreamwidth подтвердили рост числа атак типа credential stuffing, когда множество аккаунтов пытаются взломать через пароли от другого сервиса. Публикация на сайте Bleeping Computer достаточно подробно описывает, как именно злоумышленники используют утечки паролей.
Очередная утечка — хороший повод посмотреть на ситуацию со стороны пользователя. Один из авторов дайджеста получил уведомление от сервиса Троя Ханта. Там же можно проверить (если вы ему доверяете), есть ли конкретный пароль в базе утечек — актуальный пароль для ЖЖ таким способом не находится. В общем случае, если за последние пару лет вы меняли пароль на LiveJournal или другом сервисе, пострадавшем от утечек базы паролей, вы почти в безопасности.
Почему почти? Дело в том, что старый пароль может подойти к другим сервисам, если вы использовали его повторно или если давно забыли, что регистрировались на каком-то сайте. Пример с Dreamwidth показателен: одно время было модно делать бэкап дневника на этом сервисе, бесплатно и в пару кликов. О такой копии легко забыть, а злоумышленники, выходит, могут получить к нему доступ. В определенной опасности находятся давно заброшенные блоги, которые могут подвергнуться вандализму. Утечка личной информации из подзамочных постов — тоже не самый приятный сценарий.
Bleeping Computer упоминает и другие примеры атак. Помимо взлома аккаунтов на пострадавшем сервисе пароли используют для шантажа в спам-рассылках. Типовой сценарий: вам приходит письмо с сообщением о якобы взломе вашего компьютера, в качестве доказательства приводится пароль из базы утечек. Наибольшей опасности подвержены пользователи, использующие один пароль для всего, не менявшие его никогда: каждый подобный инцидент повышает шансы на тотальную утечку персональных данных, вплоть до кражи средств с банковского счета.
LiveJournal — не единственный сервис, чьи базы пользовательской информации попали в общий доступ. В условной категории социальных сетей в разное время пароли крали у сервисов 500px в 2018 году, AdultFriendFinder и Badoo в 2016-м, imgur в 2013, LinkedIn и Last.fm в 2012. Утечку LiveJournal отличает разве что длительная выдержка базы: после взлома, который произошел в период с 2014 по 2017 год, пароли пользователей не попадали в публичный доступ до мая 2020-го.
Это, конечно, не исключает перепродажу информации на черном рынке. Защищенность пользователей во многом зависит от провайдеров цифровых услуг, и здесь остается только пожелать всем по возможности не хранить пароли открытым текстом. Но реальность такова, что и пользователям необходимо принимать меры. Использовать пароли трехлетней давности где бы то ни было — явно не лучшая идея.
Что еще произошло:
Интересное исследование «Лаборатории Касперского» об атаке на промышленные предприятия. В публикации речь идет о начальном этапе подобных атак — попытках проникнуть в традиционную сетевую инфраструктуру, мало чем отличающуюся от других. Описанная атака явно целевая, использованы фишинговые письма с вредоносными вложениями (XLS-файл с макросами) и —неожиданно — стеганография: скрипт загружает изображение с публичного хостинга, чтобы обойти средства защиты, и декодирует из него следующую ступень вредоносного ПО.
Свежая версия джейлбрейка UnC0ver для устройств на базе iOS работает даже с устройствами под управлением iOS 13.5. Авторы инструмента для взлома упоминают наличие некоей уязвимости нулевого дня.
Специалисты компании Radware провели анализ ботнета Hoaxcalls. В отличие от многих других криминальных операций по массовому взлому сетевых роутеров и других устройств, он использует не перебор паролей, а набор эксплойтов к распространенным уязвимостям во встраиваемом программном обеспечении. Другой ботнет использует легитимную систему сбора телеметрии китайской компании Baidu для передачи данных с зараженных систем на командный сервер.
ИБ-подразделение Microsoft предупреждает о группировке вымогателей, известной как Ponyfinal. Она специализируется на корпоративных целях. В схеме атаки знакомые мотивы: взлом слабых паролей, ручной контроль жертв, кража данных перед шифрованием. Последнее дает возможность требовать выкуп дважды — для восстановления информации и для того, чтобы ее не обнародовали.
Любопытное исследование компании Veracode (новость, исходник в PDF). После анализа 85 тысяч приложений в 70% из них найдены те или иные баги, ранее обнаруженные в компонентах с открытым исходным кодом. Разработчики мобильного и десктопного софта массового используют свободно распространяемый код при разработке, но не всегда закрывают уже известные уязвимости в своих сборках.