Когда хакеры в последние годы взламывали такие компании, как «Дропбокс» (Dropbox) и «ЛинкедИн» (LinkedIn), украв 71 миллион и 117 миллионов паролей соответственно, они, по крайней мере, соблюдали приличия и держали эти украденные учетные данные в секрете или продавали их за тысячи долларов в даркнете. Теперь, похоже, кто-то собрал воедино все взломанные базы и многое другое в гигантскую беспрецедентную коллекцию из 2,2 миллиардов уникальных имен пользователей и связанных с ними паролей и свободно распространяет их на хакерских форумах и торрентах как прошлогоднюю телефонную книгу, выставляя на обозрение личные данные значительной части человечества.
Ранее в этом месяце специалист по безопасности Трой Хант (Troy Hunt) зафиксировал первую партию с этого мега-склада, которую его анонимный создатель назвал «Коллекцией № 1»: собранный набор данных из взломанных баз, по словам Ханта, представлял собой 773 миллиона уникальных имен пользователей и паролей. Сейчас другие исследователи обнаружили и проанализировали еще одну обширную базу данных под названием «Коллекции № 2-5», насчитывающую 845 гигабайт украденной информации и 25 миллиардов записей. Подсчитав дубликаты, аналитики из немецкого Института имени Хассо Платтнера в Потсдаме обнаружили, что общее количество трофеев тут почти в три раза больше, чем было в «Коллекции № 1».
«Это самая большая коллекция взломанной информации, которую мы когда-либо видели», — говорит Крис Роуланд (Chris Rouland), эксперт и основатель занимающейся кибербезопасностью фирмы «Фосфорус» (IoT Phosphorus), которая на днях получила «Коллекции № 1-5» с торрент-файлов. Он говорит, что эта коллекция уже широко распространена в среде хакерского подполья: он увидел, что загруженный им файл трекера «раздавался» более чем 130 людьми, у которых были эти данные, и что он уже был загружен более 1000 раз. «Это беспрецедентный объем информации и учетных данных, которые в конечном итоге станут достоянием общественности», — говорит Роуланд.
Объем поражает больше содержания
Несмотря на немыслимый объем этих данных, о котором впервые сообщил немецкий новостной сайт «Хайсе» (Heise), большая часть украденной информации, похоже, была добыта в результате старых краж, таких как взломы «Яху» (Yahoo), «ЛинкедИн» (LinkedIn) и «Дропбокс» (Dropbox). «Вайед» (Wired) изучил образец этих данных и подтвердил, что учетные данные действительно актуальны, но в основном представляют собой пароли, полученные в результате краж, совершенных несколько лет назад.
Но эта утечка данных все равно остается существенной по масштабу нарушения конфиденциальности, если не по его качеству. «Вайед» попросил Роуланда найти более десятка адресов электронной почты конкретных людей: для всех, кроме нескольких, нашелся хотя бы один пароль, который те использовали при работе с одним из онлайн-сервисов, взломанных в последние годы.
Кроме того, этот блок информации также важен потому, что исследователи из Института Хассо Платтнера обнаружили в нем 750 миллионов учетных данных, которые ранее не были включены в их базу данных с утечками имен пользователей и паролей «Инфо лик чекер» (Info Leak Checker). К тому же выяснилось, что 611 миллионов учетных данных в «Коллекциях № 2-5» не охватывали данные «Коллекции № 1». Исследователь из Института Хассо Платтнера Дэвид Джегер (David Jaeger) полагает, что некоторые части этой коллекции могли быть получены в результате автоматического взлома небольших, малоизвестных веб-сайтов с целью кражи их баз с паролями, а это значит, что значительная часть этих паролей могла быть украдена впервые.
Огромный размер коллекции также означает, что она может стать мощным инструментом для неквалифицированных хакеров, которые смогут просто попробовать ранее украденные имена пользователей и пароли на любом общедоступном интернет-сайте в надежде, что люди повторно использовали эти же пароли, прибегнув к методу заполнения запомненных учетных данных. «Для Интернета в целом это пока еще имеет большое значение», — говорит Роуланд.
Роуланд рассказал, что он сейчас взаимодействует с пострадавшими компаниями, а также намерен делиться информацией с любым высокопоставленным представителем отделов информационной безопасности, если тот свяжется с ним, стремясь защитить сотрудников своей компании или пользователей.
Вы можете проверить свое имя пользователя, используя инструмент Института Хассо Платтнера вот здесь.
Вам также следует изменить пароли на всех взломанных сайтах, им отмеченных, если вы этого еще не сделали. Обычный совет — не используйте пароли повторно и используйте менеджер паролей. (Служба Троя Ханта «ХэвАйБинПонд» (HaveIBeenPwned) предлагает еще один полезный механизм для проверки того, были ли ваши пароли скомпрометированы, хотя на момент написания этой статьи он еще не включал в себя «Коллекции № 2-5».)
Уцененные товары
Роуланд предполагает, что это могут быть данные, добытые в результате более старых взломов, которые были собраны воедино и выставлены на продажу, но затем украдены или куплены хакером, который, возможно, чтобы обесценить продукт конкурента, распространил их более широко. Файл торрент-трекера, который Роуланд использовал для загрузки коллекции, содержал документ «ридми» (readme — «инструкция» для пользователя), содержащий обращение к тем, кто будет его загружать: «пожалуйста, распространите как можно дальше», — рассказывает Роуланд. «Кто-то там хочет этого», — говорит он. (В «инструкции» также сообщалось, что скоро может появиться еще один набор данных, отсутствующий в текущей коллекции на торренте).
Но другие исследователи говорят, что такая огромная свободно распространяемая база данных представляет собой нечто иное: в течение многих лет в хакерском подполье накапливалось достаточно много старых больших наборов взломанной личной информации, чтобы они могли составить обширный, впечатляющий объем личной информации и при этом быть практически бесполезными.
«Вероятно, опытные хакеры — ребята, действительно заинтересованные в получении денег от этого — обладали этой информацией уже несколько лет», — говорит Дэвид Джегер, исследователь из Института Хассо Платтнера, который проанализировал коллекции. «В течение некоторого времени они перепробовали все это на крупнейших сервисах, так что не имело смысла больше ее хранить, и они решили продать это за небольшую сумму денег».
Джегер добавляет, что помимо получения определенной платы, хакеры часто обменивают информацию на другие данные, распространяя их все дальше и обесценивая, пока те не становятся практически бесплатными. Но их все еще можно использовать для взломов меньшего масштаба, например взлома аккаунтов в социальных сетях или взлома менее известных сайтов. «Может быть, это бесполезно для людей, которые изначально создали эти базы данных, но какие-то хакеры все еще могут использовать их для многих сервисов», — добавляет Джегер.
Хант, после публикации первой «Коллекции № 1» в начале этого месяца, говорит, что был удивлен, когда сразу же несколько человек предложили отправить ему ссылки на «Коллекции № 2-5». «Это беспрецедентное явление — такой объем данных и масштаб их распространения по крупным общественным каналам», — говорит Хант. «Это не самый большой взлом в мире, но факт, что эта информация циркулирует с беспрецедентной подвижностью».
В этом смысле «Коллекции № 1-5» представляют собой новую веху: гниющая проказа нарушений конфиденциальности в Интернете стала настолько масштабно девальвированной, что оказалась практически бесплатной и, следовательно, общедоступной, попирая любую личную информацию, до которой можно добраться. «Когда у достаточного количества людей есть секретные данные, кто-то обязательно делится ими», — говорит Роуланд. «Это энтропия. Когда данные становятся кому-то доступны, обязательно будет утечка».