Niedawno odkryta baza danych zawierająca 24 miliardy skradzionych rekordów przypomina, że dane osobowe pochodzące z naruszeń bezpieczeństwa, kampanii phishingowych i infekcji programami wykradającymi dane nadal krążą w sieci.
Zbiór danych został opublikowany w Internecie, po czym został usunięty. Chociaż badacze nie są w stanie dokładnie potwierdzić, czyje dane znalazły się w tym zbiorze, odkrycie to stanowi dobrą okazję do sprawdzenia, czy Państwa adresy e-mail, hasła lub inne dane osobowe nie zostały już ujawnione.
Co się stało?
Badacze z serwisu Cybernews odkryli publicznie dostępną bazę danych zawierającą ponad 8,3 TB danych.
Dane, obejmujące 24 miliardy rekordów danych uwierzytelniających, pochodziły podobno z 36 źródeł, w tym z licznych kanałów na Telegramie, zestawień wcześniejszych wycieków, zbiorów logów programów wykradających dane oraz niektórych zbiorów danych, które najwyraźniej zostały wyeksportowane bezpośrednio z aktywnych serwerów.
Ponieważ dane pochodzą z różnych źródeł, występują pewne różnice w zawartości poszczególnych rekordów oraz w sposobie ich uporządkowania.
Niektóre rekordy stanowiły uporządkowane logi programów typu „infostealer”, zawierające nazwy użytkowników, adresy e-mail, hasła w postaci zwykłego tekstu oraz powiązane adresy URL stron logowania. Programy typu „infostealer” to rodzaj złośliwego oprogramowania zaprojektowanego w celu kradzieży poufnych informacji z zainfekowanych urządzeń, takich jak komputer domowy.
Dziennik programu wykradającego dane z jednego zainfekowanego urządzenia może zawierać hasła zapisane we wszystkich przeglądarkach, aktywne pliki cookie sesji i tokeny (w tym te, które pozwalają ominąć uwierzytelnianie wieloskładnikowe), dane do automatycznego wypełniania, odciski palców urządzenia, a czasami także portfele kryptowalutowe lub konta komunikatorów. Cały ten zestaw trafia do dzienników, takich jak te, które przeanalizowali badacze z Cybernews.
Około 1,7 miliarda rekordów pochodziło z kanałów na Telegramie związanych z hakowaniem, głównie anglojęzycznych i rosyjskojęzycznych, w tym co najmniej jednego, który skupiał się na skradzionych danych kart kredytowych.
Narażona baza danych była hostowana w klastrze Elasticsearch. Elasticsearch to narzędzie służące do szybkiego przechowywania i przeszukiwania dużych ilości danych. Jeśli serwer Elasticsearch nie posiada haseł,mechanizmów uwierzytelniania ani ograniczeń sieciowych, dostęp do niego może uzyskać każdy, kto znajdzie go w Internecie. Bez zabezpieczeń, takich jak hasła czy zapora sieciowa, każdy może odczytywać, kopiować, zmieniać, a nawet usuwać dane z tej bazy.
Pozostałe dokumenty w zbiorze danych zawierały informacje o znanych lukach w zabezpieczeniach, artykuły dotyczące naruszeń bezpieczeństwa oraz wpisy w mediach społecznościowych dotyczące cyberataków. Sugeruje to, że właściciel aktywnie śledzi wiadomości dotyczące bezpieczeństwa i luk w zabezpieczeniach oraz wzbogaca swój zbiór danych uwierzytelniających o najnowsze informacje o naruszeniach – albo na potrzeby komercyjnej usługi „monitorowania”, albo w celach ofensywnych.
Kilka lat temu pisaliśmy o tak zwanym „największym wycieku danych w historii”, w przypadku którego źródłem zbioru danych okazała się później wyszukiwarka wycieków danych Leak-Lookup.
Ta nowo odkryta wyciek danych obejmujący 24 miliardy rekordów plasuje się na tym samym poziomie co poprzedni ogromny wyciek, ale wydaje się, że zawiera znacznie więcej najnowszych logów programów wykradających dane niż starszych, statycznych danych dotyczących naruszeń bezpieczeństwa.
Ponieważ dane zostały wycofane z publicznego dostępu wkrótce po ich odkryciu, naukowcom nie udało się w pełni odtworzyć wszystkich znalezionych informacji ani ustalić, ile zduplikowanych wpisów zawierała baza. To pocieszające, ponieważ zmniejsza to ryzyko, że cyberprzestępcy znajdą tę bazę danych, jednak ponowne użycie haseł może nadal stanowić zagrożenie dla kont. Nadal też nie wiemy, jaki był pierwotny cel zebrania tych danych.
Co teraz zrobić?
Warto zdawać sobie sprawę z tego, ile informacji o tobie krąży w sieci i kto je gromadzi, ale jeszcze ważniejsze jest dokładne poznanie, jakie dokładnie dane są w ich posiadaniu, ponieważ to właśnie one mogą zostać wykorzystane przeciwko tobie.
1. Sprawdź, czy Twoje dane zostały ujawnione w Internecie, korzystając z naszego portalu „Digital Footprint”.
2. Jeśli odkryjesz, że Twoje hasła zostały ujawnione, natychmiast je zmień i upewnij się, że nie używasz tego samego hasła na wielu kontach. W pierwszej kolejności zaktualizuj hasła do ważnych kont, takich jak konta e-mailowe, bankowe, sklepowe i w mediach społecznościowych.
3. W miarę możliwości należy włączyć uwierzytelnianie wieloskładnikowe (MFA), ponieważ może ono pomóc w ochronie kont nawet w przypadku ujawnienia hasła.
Jak chronić swoje dane
Programy wykradające dane często rozprzestrzeniają się za pośrednictwem złośliwych reklam, fałszywych aktualizacji przeglądarek oraz plików do pobrania jednym kliknięciem. Należy unikać klikania reklam sponsorowanych i zamiast tego odwiedzać bezpośrednio oficjalne strony internetowe. Oprogramowanie należy pobierać wyłącznie z zaufanych źródeł, takich jak oficjalne strony producentów lub sklepy z aplikacjami.
Kolejną techniką, która zyskuje na popularności, jestClickFix – atak oparty na inżynierii społecznej, który nakłania użytkowników do zainfekowania własnych urządzeń. Nigdy nie uruchamiaj poleceń ani skryptów skopiowanych ze stron internetowych, wiadomości e-mail lub innych komunikatów, chyba że ufasz źródłu i rozumiesz, jak działają.
Pirackie oprogramowanie, kody do gier, złamane narzędzia oraz podejrzane rozszerzenia przeglądarek nadal stanowią częste źródła infekcji programami wykradającymi dane. Korzystaj wyłącznie z oprogramowania i rozszerzeń renomowanych producentów oraz zachowaj ostrożność wobec wszystkiego, co wymaga nadmiernych uprawnień.
Wreszcie, wiadomości phishingowe nadal stanowią poważne zagrożenie. Należy zachować ostrożność w przypadku nieoczekiwanych załączników, linków i pilnych próśb. Jeśli nie masz pewności, czy wiadomość jest autentyczna, sprawdź ją na oficjalnej stronie internetowej firmy, a nie korzystając z linku zawartego w wiadomości.
Możesz również skorzystać z Malwarebytes Guard, aby sprawdzić poszczególne wiadomości. Wystarczy, że prześlesz zrzut ekranu, a my poinformujemy Cię, czy jest to oszustwo.
