1,2 миллиарда записей в открытом виде обнаружено на сервере в Интернете 11.12.2019 16:50Еще одна крупная утечка данных, затронувшая профили Facebook, Twitter и LinkedIn
Уже более десяти лет кибермошенники, занимающиеся кражей личных данных, фишингом и другими киберпреступлениями, создают черный рынок украденных и собранных данных клиентов, которые используются для взлома учетных записей, кражи денег или выполнения действий от их имени. В октябре 2019 год исследователь даркнета Винни Троя обнаружил кладезь такой информации в открытом виде, доступном на незащищенном сервере и содержащем 4 терабайта персональных данных – всего примерно 1,2 миллиарда записей.
Хотя коллекция и впечатляет своим огромным объемом, в ней нет конфиденциальной информации – паролей, номеров кредитных карт, карт социального страхования. Однако в ней содержатся профили сотен миллионов людей с номерами домашних и мобильных телефонов, привязанными профилями в социальных сетях вроде Facebook, Twitter, LinkedIn и Github, информацией об опыте работы, вытащенной, скорее всего, из LinkedIn, 50 миллионами уникальных телефонных номеров и 622 миллионами уникальных адресов электронной почты.
«Плохо, что кто-то держал это в доступном виде», - говорит Троя. - В первый раз вижу объединение в единую базу данных такого масштаба профилей социальных сетей с профилями, в которых содержится информация о пользователе. Если вы хакер и хотите выдать себя за кого-то или похитить учетные данные, у вас теперь есть имена, телефонные имена и URL-адреса соответствующих учетных записей. Этого вполне достаточно для начала».
«Этот инцидент уникален огромным объемом собранных данных» Трой Хант, HAVEIBEENPWNED
Троя обнаружил этот сервер со своим коллегой-исследователем кибербезопасности Бобом Дьяченко во время использования сервиса веб-сканирования BinaryEdge и Shodan. IP-адрес сервера ведет на Google Cloud Services, поэтому Троя не знает, кто накопил все эти данные. У него нет возможности узнать, были ли эти данные обнаружены и скачаны кем-то еще, но он отмечает, что найти и получить доступ к этому серверу легко. Редакция WIRED провела свое тестирование: по адресам электронной почты из 6 человек в базе данных были обнаружены профили 4 человек с точными данными. Троя сообщил о своей находке в ФБР. В течение нескольких часов, по его словам, кто-то отключил сервер. ФБР отказалось комментировать эту историю.
Неизвестное происхождение
Обнаруженные Троем данные представляют собой четыре слепленных набора данных. Три из них были отмечены, возможно владельцем сервера, как полученные от брокера данных People Data Labs из Сан-Франциско. People Data Labs на своем сайте объявила о продаже данных 1,5 миллиарда людей, из них почти 260 миллионов из США. Компания также заявила, что имеет миллиард адресов личной электронной почты, свыше 420 миллионов URL-адресов LinkedIn, свыше миллиарда URL-адресов и логинов Facebook, и свыше 400 миллионов телефонных номеров, в том числе свыше 200 миллионов действующих американский номеров мобильных телефонов.
Со-основатель PDL Шон Торн (Sean Thorne) говорит, что его компании не принадлежит сервер, на котором размещены открытые данные. Троя согласен с этим утверждением. Также остается неясным, как записи попали туда.
«Владелец этого сервера, вероятно, использовал одно из наших решений для обработки данных, а также ряд других услуг по обогащению данных или лицензированию, - говорит Шон Торн, соучредитель People Data Labs. - Как только клиент получает данные от нас или любого другого провайдера данных, то они оказываются на серверах клиентов, и клиенты несут за них ответственность. Мы проводим бесплатные проверки безопасности, консультации и семинары для большинства наших клиентов ».
По мнению Троя, маловероятно, что People Data Labs была взломана, так как проще было бы купить у них данные. Злоумышленник с ограниченным бюджетом мог бы также подписаться на бесплатную пробную версию, как предлагает компания, и получать 1000 пользовательских профилей ежемесячно. «Тысяча профилей и 1000 одноразовых учетных данных, и у вас есть практически все», - подчеркивает Троя.
Другой набор данных помечен как «OXY», и каждая запись в нем также содержит тег «OXY». Троя предполагает, что это может относиться к брокеру данных Oxydata из Вайоминга, который утверждает, что имеет 4 ТБ данных, включая 380 миллионов профилей пользователей и сотрудников из 85 отраслей и 195 странах мира. Мартинас Симанаускас, директор по корпоративным продажам Oxydata, подчеркнул, что Oxydata не была взломана и не помечает свои данные тегом «OXY».
Часть базы данных, которую обнаружил Винни, возможно, была приобретена у нас или нашего клиента. Совершенно точно, что она не была украдена, - заявил Симанаукас редакции WIRED. – Мы подписали соглашение с нашими клиентами о строгом запрете продажи данных и ответственности за защиту этих данных. Тем не менее, у нас нет возможности заставить всех наших клиентов следовать лучшим практикам и методикам защиты данных. Судя по структуре данных, база данных, обнаруженная Вини, является, очевидно, результатом работы других лиц, которые собрали записи из нескольких источников».
Тот факт, что ни один из брокеров данных не может исключить возможность того, что один из их клиентов ненадлежащим образом использовал свои приобретенные данные, говорит о более серьезных проблемах безопасности и конфиденциальности, свойственных бизнесу покупки и продажи данных.
«Этот инцидент отличается огромным объемом собранных данных и способом их сбора, хранения и коммерциализации без ведома владельцев данных. Мои собственные личные персональные данные есть в этой базе данных, - говорит исследователь безопасности Трой Хант, который управляет комплексной службой отслеживания инцидентов с данными HaveIBeenPwned. – В этой базе данных мы видим больше данных, чем когда либо раньше. Это не только из-за большего количества утечек данных, это также из-за распространения данных, которые уже были взломаны. Мы видим, что эти данные затем отбираются другими службами, дублируются, затем взламываются опять».
Как и в некоторых из его прошлых открытий, Троя предоставил информацию Ханту из HaveIBeenPwned. В целом, Хант добавил более 622 миллионов уникальных адресов электронной почты и других данных в свой репозиторий и в настоящее время уведомляет сеть HaveIBeenPwned.
Непрекращающиеся утечки данных
Это раскрытие данных является лишь последним в бесконечной череде крупных открытий. В начале этого года было найдено 2,2 миллиарда записей на хакерских форумах, выложенных несколькими траншами, известным как Коллекции № 1-5. В марте Троя и Дьяченко обнаружили, что одна фирма, занимающаяся электронным маркетингом под названием Verification.io, оставила 809 миллионов записей в открытом доступе. В 2018 году маркетинговая фирма Exactis допустила утечку базы данных с 340 миллионами личных записей, а нарушение в деятельности аналитической компании по продажам Apollo выявило миллиарды единиц данных.
В первом квартале 2019 года число как утечек данных, так и раскрытия данных значительно возросло по сравнению с 2018 годом. Троя, управляющий фирмой Data Viper по анализу угроз, говорит, что в течение последних нескольких лет он создавал хранилище уязвимых данных для использования их при сканировании и отслеживании. По его словам, в конце 2017 года он с трудом добыл 4 миллиарда записей для своего хранилища. К марту 2018 года он имел 5 миллиардов. Сегодня в его репозитории более 13 миллиардов. «Это огромный скачок», - говорит Троя.
Тот факт, что данные доступны в Интернете, не означает, что хакеры получили к ним доступ, используемые данные часто просто извлекаются из публичных записей. Но в совокупности эти трофеи могут создавать реальный риск, способствуя краже личных данных, заполнении форм учетными данными и фишингу. Согласно последним исследованиям швейцарской компании по тестированию ИТ-безопасности и мониторингу даркнета ImmuniWeb, большая часть данных также попадает в даркнет, где недавно произошел резкий рост количества украденных учетных данных.
В каком-то смысле, громадный объем данных, циркулирующий в даркнете, может создать своего рода плато риска, где большой объем не обязательно равен более успешным случаям мошенничества. Опять же, эти рынки подвержены тем же силам спроса и предложения, что и любые другие, говорит Харрисон Ван Рипер, аналитик по стратегии и исследованиям в компании по ИБ Digital Shadows. По мере роста предложения цены снижаются, что делает данные более доступным для преступников. Ван Рипер отмечает, что хотя пароли, номера кредитных карт и официальных документов являются наиболее очевидной угрозой для мошенников, не нужно недооценивать значимость всех вспомогательных данных, которые помогают формировать профили потребителей.
«Некоторая часть общедоступной информации, которую возможно собрать, уже собрана. Если вы посмотрите на справочники, что увидите, что у вас есть чей-то номер телефона, чей-то адрес, сейчас просто гораздо легче получить доступ к данным и широко их использовать, - говорит он. Учитывая рост количества данных, кто-то найдет способ использовать даже самые обыденные элементы информации».