Η υπερβολική συγκέντρωση ευαίσθητων δεδομένων, ακόμα και αν δεν γίνεται με κακόβουλο σκοπό, μπορεί να αποβεί το ίδιο επιζήμια με την ενεργή κλοπή τους. Η ερευνητική ομάδα της Cybernews εντόπισε δεκάδες τεράστιες βάσεις δεδομένων που περιέχουν δισεκατομμύρια στοιχεία σύνδεσης. Από κοινωνικά δίκτυα και εταιρικές πλατφόρμες μέχρι VPN και προγραμματιστικά portals, δεν άφησαν τίποτα ανεξερεύνητο.
Η ομάδα παρακολουθεί στενά το διαδίκτυο από τις αρχές του έτους και μέχρι στιγμής έχει εντοπίσει 30 εκτεθειμένα σύνολα δεδομένων, που περιέχουν από δεκάδες εκατομμύρια έως και πάνω από 3,5 δισεκατομμύρια εγγραφές το καθένα. Συνολικά, οι ερευνητές ανακάλυψαν πάνω από 16 δισεκατομμύρια αρχεία.
Τα περισσότερα από αυτά τα σύνολα δεν είχαν αναφερθεί προηγουμένως, εκτός από ένα, καθώς στα τέλη Μαΐου, το περιοδικό Wired ανέφερε την ανακάλυψη από έναν ερευνητή ασφάλειας μιας «μυστηριώδους βάσης δεδομένων» με 184 εκατομμύρια αρχεία, που όμως αποτελεί μόνο μια μικρή κορυφή στον κατάλογο των ευρημάτων της ομάδας. Το πιο ανησυχητικό είναι πως οι ερευνητές υποστηρίζουν ότι κάθε λίγες εβδομάδες εμφανίζονται νέες τεράστιες βάσεις δεδομένων, γεγονός που καταδεικνύει την έκταση του προβλήματος με το κακόβουλο λογισμικό συλλογής πληροφοριών (infostealer malware).
«Δεν πρόκειται απλώς για μια διαρροή. Είναι ένα σχέδιο για μαζική εκμετάλλευση. Με πάνω από 16 δισεκατομμύρια εκτεθειμένα στοιχεία σύνδεσης, οι κυβερνοεγκληματίες έχουν πρωτοφανή πρόσβαση σε προσωπικά δεδομένα που μπορούν να χρησιμοποιηθούν για κατάληψη λογαριασμών, κλοπή ταυτότητας και στοχευμένες επιθέσεις phishing. Το πιο ανησυχητικό είναι η δομή και η επικαιρότητα αυτών των δεδομένων, δεν πρόκειται για παλιές παραβιάσεις που επαναχρησιμοποιούνται, αλλά για φρέσκα, εκμεταλλεύσιμα στοιχεία σε μεγάλη κλίμακα», δήλωσαν οι ερευνητές.
Η μόνη θετική πλευρά είναι ότι όλα τα σύνολα δεδομένων ήταν εκτεθειμένα μόνο για σύντομο χρονικό διάστημα: αρκετό για να τα εντοπίσουν οι ερευνητές, αλλά όχι για να εντοπιστεί ποιος τα ελέγχει. Τα περισσότερα ήταν προσωρινά προσβάσιμα μέσω μη ασφαλών Elasticsearch ή αποθηκευτικών αντικειμένων (object storage).
Τι περιέχουν τα δισεκατομμύρια αρχεία;
Οι ερευνητές αναφέρουν ότι τα περισσότερα δεδομένα αποτελούν μείγμα πληροφοριών από λογισμικά τύπου stealer, συνόλων δεδομένων credential stuffing και επανασυσκευασμένων διαρροών.
Δεν υπήρξε τρόπος να γίνει αποτελεσματική σύγκριση μεταξύ των διαφορετικών συνόλων, όμως είναι βέβαιο ότι υπάρχουν επαναλαμβανόμενα αρχεία. Συνεπώς, είναι αδύνατο να προσδιοριστεί πόσοι άνθρωποι ή λογαριασμοί εκτέθηκαν πραγματικά.
Ωστόσο, η πληροφορία που συγκεντρώθηκε δείχνει ότι τα δεδομένα ακολουθούν σαφή δομή: URL, ακολουθούμενο από στοιχεία σύνδεσης και κωδικό. Τα περισσότερα σύγχρονα infostealers συλλέγουν δεδομένα με αυτόν ακριβώς τον τρόπο.
Τα δεδομένα αυτά δίνουν πρόσβαση σε σχεδόν κάθε διαδικτυακή υπηρεσία, από Apple, Facebook και Google, έως GitHub, Telegram και διάφορες κρατικές υπηρεσίες. Με 16 δισεκατομμύρια αρχεία, είναι σχεδόν αδύνατο να έχει διαφύγει κάτι.
Οι ερευνητές επισημαίνουν ότι τέτοιου μεγέθους διαρροές τροφοδοτούν εκστρατείες phishing, κατάληψη λογαριασμών, επιθέσεις ransomware και επιθέσεις τύπου business email compromise (BEC).
«Η παρουσία παλιών και πρόσφατων logs infostealers, συχνά με tokens, cookies και μεταδεδομένα, καθιστά τα δεδομένα ιδιαίτερα επικίνδυνα για οργανισμούς που δεν εφαρμόζουν αυθεντικοποίηση πολλαπλών παραγόντων ή σωστές πρακτικές ασφάλειας κωδικών», τονίζει η ομάδα.
Ποιο dataset περιείχε δισεκατομμύρια στοιχεία;
Τα σύνολα δεδομένων που εντοπίστηκαν ποικίλλουν σημαντικά. Για παράδειγμα, το μικρότερο, που ονομάστηκε από κακόβουλο λογισμικό, περιείχε πάνω από 16 εκατομμύρια εγγραφές. Το μεγαλύτερο, πιθανόν σχετιζόμενο με πορτογαλόφωνο πληθυσμό, είχε πάνω από 3,5 δισεκατομμύρια εγγραφές. Κατά μέσο όρο, κάθε dataset περιείχε περίπου 550 εκατομμύρια αρχεία.
Μερικά ονομάστηκαν γενικά, όπως «logins», «credentials» και παρόμοια, δυσχεραίνοντας την κατανόηση του περιεχομένου τους. Άλλα όμως παρέχουν ενδείξεις για τις υπηρεσίες που αφορούν.
Για παράδειγμα, ένα dataset με πάνω από 455 εκατομμύρια αρχεία φαίνεται να προέρχεται από τη Ρωσική Ομοσπονδία. Ένα άλλο, με πάνω από 60 εκατομμύρια αρχεία, φέρει το όνομα Telegram, τη δημοφιλή πλατφόρμα ανταλλαγής μηνυμάτων.
Αν και τα ονόματα δεν αρκούν για να προσδιοριστεί η προέλευση των δεδομένων, κάποια φαίνεται να σχετίζονται με υπηρεσίες cloud, επιχειρηματικά δεδομένα και κλειδωμένα αρχεία. Κάποια ονόματα μάλλον αναφέρονται σε είδος malware που χρησιμοποιήθηκε για τη συλλογή τους.
Δεν είναι σαφές ποιος κατέχει τα διαρρεύσαντα δεδομένα. Ενώ κάποιοι μπορεί να είναι ερευνητές ασφαλείας που συγκεντρώνουν δεδομένα για παρακολούθηση, είναι σχεδόν βέβαιο πως αρκετά datasets ανήκουν σε κυβερνοεγκληματίες. Οι εγκληματίες προτιμούν τέτοιες τεράστιες συλλογές, καθώς διευκολύνουν επιθέσεις ταυτότητας, phishing και μη εξουσιοδοτημένης πρόσβασης.
Ακόμα και ποσοστό επιτυχίας κάτω του 1% μπορεί να ανοίξει την πόρτα σε εκατομμύρια χρήστες, που μπορούν να εξαπατηθούν και να αποκαλύψουν ευαίσθητες πληροφορίες, όπως οικονομικά στοιχεία. Επειδή δεν είναι γνωστό ποιος κατέχει τα δεδομένα, οι χρήστες έχουν περιορισμένα μέσα προστασίας.
Ωστόσο, η βασική ψηφιακή προστασία παραμένει κρίσιμη. Η χρήση διαχειριστή κωδικών για τη δημιουργία ισχυρών και μοναδικών κωδικών, καθώς και η τακτική ενημέρωσή τους, μπορεί να κάνει τη διαφορά μεταξύ ασφαλούς λογαριασμού και κλοπής στοιχείων. Επίσης, οι χρήστες πρέπει να ελέγχουν τα συστήματά τους για infostealers, ώστε να αποφύγουν απώλεια δεδομένων.
Διαρροές Facebook, Google και Apple: αλήθεια ή μύθος;
Με 16 δισεκατομμύρια αρχεία, αυτό ισοδυναμεί με δύο λογαριασμούς ανά κάτοικο του πλανήτη. Ωστόσο, το πόσα από αυτά είναι διπλότυπα δεν είναι γνωστό, καθώς τα δεδομένα προέρχονται από πολλά διαφορετικά σύνολα.
Ορισμένα μέσα ενημέρωσης ισχυρίστηκαν ότι διαγράφηκαν κωδικοί από Facebook, Google και Apple. Παρόλο που δεν μπορεί να αποκλειστεί πλήρως, αυτή η πληροφορία θεωρείται ανακριβής.
Ο Bob Diachenko, ερευνητής κυβερνοασφάλειας και συνεργάτης της Cybernews, υπεύθυνος για την ανακάλυψη, διευκρίνισε: «Δεν υπήρξε κεντρική παραβίαση σε καμία από αυτές τις εταιρείες».
Ωστόσο, πρόσθεσε πως «τα credentials που είδαμε σε logs infostealers περιείχαν URLs σύνδεσης για Apple, Facebook και Google».
Άρα, όπως προαναφέρθηκε, τα διαρρεύσαντα δεδομένα μπορούν να δώσουν πρόσβαση σε σχεδόν κάθε διαδικτυακή υπηρεσία.
Η αποκάλυψη των 16 δισεκατομμυρίων εγγραφών σηματοδοτεί αλλαγή στον υπόκοσμο
Ο ερευνητής της Cybernews, Aras Nazarovas, εκτιμά πως αυτή η ανακάλυψη μπορεί να υποδηλώνει ότι οι εγκληματίες εγκαταλείπουν τις παραδοσιακές μεθόδους απόκτησης κλεμμένων δεδομένων.
«Η αύξηση των εκτεθειμένων infostealer datasets σε μορφή κεντρικών βάσεων δεδομένων, όπως αυτές που βρήκε η ομάδα της Cybernews, ίσως δείχνει ότι οι εγκληματίες μεταβαίνουν από παλιότερες επιλογές, όπως οι ομάδες στο Telegram, που ήταν προηγουμένως ο βασικός τόπος συγκέντρωσης τέτοιων δεδομένων», αναφέρει ο Nazarovas.
Ο ίδιος συνεργάζεται τακτικά με εκτεθειμένα datasets, βοηθώντας στην προστασία τους πριν τα εκμεταλλευτούν κακόβουλοι.
Προτείνει: «Μερικά από τα εκτεθειμένα δεδομένα περιλάμβαναν cookies και session tokens, που δυσκολεύουν την αντιμετώπιση της έκθεσης. Αυτά τα cookies συχνά παρακάμπτουν μεθόδους 2FA, και όχι όλες οι υπηρεσίες τα επαναρυθμίζουν μετά την αλλαγή κωδικού. Η καλύτερη λύση είναι να αλλάξετε τους κωδικούς σας, να ενεργοποιήσετε το 2FA όπου δεν το έχετε ήδη, να παρακολουθείτε στενά τους λογαριασμούς σας και να επικοινωνείτε με την υποστήριξη πελατών, αν διαπιστώσετε ύποπτη δραστηριότητα».
Πρόσφατες μεγάλες διαρροές περιλαμβάνουν WeChat και Alipay
Τεράστιες διαρροές δεδομένων, με δισεκατομμύρια αρχεία, έχουν γίνει σχεδόν καθημερινό φαινόμενο. Την περασμένη εβδομάδα, η Cybernews δημοσίευσε άρθρο για πιθανώς τη μεγαλύτερη διαρροή στην Κίνα, που περιλάμβανε οικονομικά στοιχεία, δεδομένα WeChat και Alipay, καθώς και άλλα ευαίσθητα προσωπικά δεδομένα.
Πέρυσι το καλοκαίρι, η μεγαλύτερη συλλογή κωδικών με σχεδόν 10 δισεκατομμύρια μοναδικούς κωδικούς, RockYou2024, διέρρευσε σε δημοφιλές φόρουμ χάκερς. Το 2021, αντίστοιχη συλλογή με πάνω από 8 δισεκατομμύρια αρχεία διέρρευσε επίσης.
Στις αρχές του 2024, η ομάδα της Cybernews ανακάλυψε πιθανώς τη μεγαλύτερη διαρροή όλων των εποχών: τη Mother of All Breaches (MOAB), με 26 δισεκατομμύρια αρχεία.