Недавно обнаруженная база данных, содержащая 24 миллиарда похищенных записей, напоминает о том, что личная информация, полученная в результате утечек данных, фишинговых атак и заражения программ-крадец данных, по-прежнему циркулирует в сети.
Коллекция была опубликована в Интернете, а затем удалена. Хотя исследователи не могут точно подтвердить, чьи именно данные в ней содержались, эта находка дает хорошую возможность проверить, не попали ли в открытый доступ ваши адреса электронной почты, пароли или другие личные данные.
Что случилось?
Исследователи из Cybernews обнаружили общедоступную базу данных, содержащую более 8,3 ТБ информации.
По имеющимся данным, эти данные, состоящие из 24 миллиардов записей с учетными данными, были получены из 36 источников, включая многочисленные каналы в Telegram, подборки данных о предыдущих утечках, сборники журналов программ-крадецов информации, а также некоторые наборы данных, которые, по всей видимости, были экспортированы непосредственно с действующих серверов.
Поскольку данные были получены из разных источников, в содержании записей и способе их организации имеются некоторые различия.
Некоторые записи представляли собой структурированные журналы программ-крадецов информации, содержащие имена пользователей, адреса электронной почты, пароли в открытом виде, а также соответствующие URL-адреса для входа в систему. Программы-крадецы информации — это тип вредоносного ПО, предназначенный для кражи конфиденциальной информации с зараженных устройств, таких как ваш домашний компьютер.
Журнал данных, похищенных программой-инфостилером с одного зараженного устройства, может содержать пароли, сохраненные во всех браузерах, файлы cookie и токены активных сессий (в том числе те, которые позволяют обойти многофакторную аутентификацию), данные автозаполнения, «отпечатки» устройства, а иногда — криптовалютные кошельки или учетные записи мессенджеров. Именно этот полный набор данных в конечном итоге попадает в журналы, подобные тем, которые обнаружили исследователи Cybernews.
Около 1,7 миллиарда записей были получены из каналов Telegram, связанных с хакерской деятельностью, преимущественно англо- и русскоязычных, в том числе как минимум одного, посвященного украденным данным кредитных карт.
Уязвимая база данных размещалась на кластере Elasticsearch. Elasticsearch — это инструмент, предназначенный для быстрого хранения и поиска больших объемов данных. Если на сервере Elasticsearch отсутствуют пароли,аутентификация или сетевые ограничения, к нему может получить доступ любой, кто найдет его в Интернете. Без таких средств защиты, как пароли или брандмауэр, любой может прочитать, скопировать, изменить или даже удалить данные, хранящиеся на этом сервере.
Другие документы в наборе данных содержали информацию об известных уязвимостях, статьи об утечках данных и публикации в социальных сетях, посвящённые кибератакам. Это позволяет предположить, что владелец активно отслеживает новости в сфере безопасности и уязвимости и пополняет свою базу учетных данных свежей информацией об утечках — либо для коммерческого сервиса «мониторинга», либо для использования в наступательных целях.
Несколько лет назад мы писали о так называемой «матери всех утечек», источником набора данных которой, как выяснилось позже, оказался поисковик утечек данных Leak-Lookup.
Эта недавно обнаруженная утечка, включающая 24 миллиарда записей, по масштабам сопоставима с предыдущим крупномасштабным утечкой, однако, по всей видимости, в ней преобладают свежие журналы программ-шпионов, а не старые статические данные об утечках.
Поскольку данные были удалены из открытого доступа вскоре после их обнаружения, исследователи не смогли полностью восстановить всю найденную информацию или определить, сколько дубликатов записей в ней содержалось. Это обнадеживает, поскольку снижает вероятность того, что киберпреступники найдут эту базу данных, однако повторно используемые пароли по-прежнему могут подвергать учетные записи риску. Кроме того, мы до сих пор не знаем, с какой целью изначально осуществлялся сбор этих данных.
Что делать дальше
Хорошо осознавать, сколько информации о вас находится в открытом доступе и кто её собирает, но ещё важнее точно знать, какой именно информацией они располагают, ведь именно её они могут использовать против вас.
1. Проверьте, не попали ли ваши данные в открытый доступ в Интернете, воспользовавшись нашим порталом «Цифровой след».
2. Если вы обнаружите утечку паролей, немедленно смените их и убедитесь, что не используете один и тот же пароль для нескольких учетных записей. В первую очередь обновите пароли к важным учетным записям, таким как электронная почта, банковские счета, интернет-магазины и социальные сети.
3. По возможности включайте многофакторную аутентификацию (MFA), так как она помогает защитить учетные записи даже в случае утечки пароля.
Как защитить свои данные
Программы для кражи данных часто распространяются через вредоносную рекламу, поддельные обновления браузеров и загрузки «в один клик». Старайтесь не нажимать на спонсорскую рекламу, а вместо этого переходите напрямую на официальные сайты. Загружайте программное обеспечение только из надежных источников, таких как официальные сайты разработчиков или магазины приложений.
Еще одним методом, набирающим популярность, являетсяClickFix — атака с использованием социальной инженерии, в ходе которой пользователей обманом заставляют заразить свои собственные устройства. Никогда не запускайте команды или скрипты, скопированные с веб-сайтов, из электронных писем или сообщений, если вы не доверяете источнику и не понимаете, что они делают.
Пиратское ПО, читы для игр, взломанные утилиты и подозрительные расширения для браузеров по-прежнему остаются распространёнными источниками заражения программами-инфостилерами. Используйте только проверенное ПО и расширения и с осторожностью относитесь ко всему, что запрашивает чрезмерные права доступа.
И наконец, фишинговые письма по-прежнему представляют серьезную угрозу. Будьте осторожны с неожиданными вложениями, ссылками и срочными запросами. Если вы не уверены в подлинности сообщения, проверьте его через официальный сайт компании, а не по ссылке, указанной в сообщении.
Вы также можете воспользоваться Malwarebytes Guard для проверки отдельных сообщений. Просто загрузите скриншот, и мы сообщим вам, является ли это мошенничеством.
