Gaidāmi vēl citi "mega pārkāpumi", jo konkurējošie hakeri sacenšas par pārdošanu

Četras nedēļas. Trīs uzlauzumi. Divi konkurējoši pārdevēji, kuriem ir gandrīz viens miljards kontu — gaidāmi vēl citi.

Kā mēs šeit nokļuvām? Silīcija ielejai neseno apstiprināto datu pārkāpumu uzliesmojums bija brutāls atgādinājums: drošībai patiešām ir nozīme. Uzlauzumi pārņēma kā drudzis, ko veicināja pamatotās cerības — ņemot vērā hakeru acīmredzami augsto piekļuves līmeni —, ka parādīsies vēl vairāk pārkāpumu.

Mana vieta, LinkedIn, un Tumblr visi tika sisti krustā par nespēju nodrošināt savu lietotāju datu drošību. Uzņēmumi pateica savu "Hail Mary's" un ēda savu necilo pīrāgu un solīja darīt labāk.

Citiem uzņēmumiem neklājās tik labi.

Iepazans portls Badoo, kas pagjuaj mnes noliedza, ka tas būtu uzlauzts pēc tam, kad tumšā tīmekļa tirgū tika tirgoti desmitiem miljonu kontu, tika saglabāta seja, kad vietne LeakedSource, kurā tika paziņots par pārkāpumu augšupielādēja datu kopu no 127 miljoniem ierakstu. Pēc tam sociālo tīklu vietne VK.com sākotnēji e-pastā noliedza, ka tas tika uzlauzts, bet vēlāk atzina amatā ka nopludinātie dati bija no 2012. gada, apstiprinot mūsu ziņojumu, un ka pieteikšanās pēc fakta tika piespiedu kārtā atiestatīta.

Taču pēc šī gada "mega pārrāvumu" viļņa notikumi sāka risināties.

Dropbox pārrāva ķēdi kā nākamo lielo uzlaušanu, kas vienkārši nebija. Un Twitter ceturtdien bija pēdējais, kas noliedza, ka tas būtu uzlauzts, lai gan LeakedSource, kas analizēja datus, bija skaidrs teikt tā neuzskatīja, ka Twitter ir uzlauzts (neskatoties uz a nogalinājano virsrakstiemierosinotcitādi).

Vai tas bija lēciena punkts? Vai "pīķa uzlaušana" bija beigusies? Vai arī mēs esam piesātinājuši tirgu ar tik daudziem lietotājvārdiem un parolēm, ka esošo hacku atkārtota izmantošana un pārsaiņošana bija gandrīz neizbēgama?

Izmantojot vienu akreditācijas datu sarakstu, šķietamo "uzlaušanu" ir viegli pārsaiņot kā citu pārkāpumu — vienkārši tirgojot sarakstus ar vienu īstu ierakstu partiju. Dažreiz tas ir veco datu nodošana kā jauni, lai pelnītu naudu vai parādītu hakeru veiklību un prasmes.

Patiesībā tas tikai apgrūtina noteikt, vai jaunais saraksts ir īsts, un tas sāk parādīties.

Vēsturiskie hacks atgriežas spokos

Bija viegli pieņemt, ka Dropbox ir uzlauzts, taču to pierādīt būtu grūti. Tas ir hakeru vārds pret uzņēmumu — un vairumā gadījumu pēdējam ir vairāk ko zaudēt.

Saskaņā ar marta sākuma sarakstu hakeru forumā kāds krievu pārdevējs, kurš saucas "Tessa88", apgalvoja, ka viņam ir 103 miljoni nozagtu kontu. Pašai lejupielādei bija mazāks 73 miljonu ierakstu kopums — sarkanais karogs drošības reportierim Braienam Krebsam, kurš pirmais aptvēra stāstu. Izrādījās, ka tie ir atkārtoti apkopoti dati no Tumblr, taču to pastiprināja un uzmundrināja uzraudzības pakalpojumi, kas atmeta bumbiņu.

Arī Teamviewer bija nokļuvis "mega breach" sērijas hype, kas noveda pie dažiem ticēt ekrāna koplietošanas lietotne tika uzlauzta. Lai gan tiešsaistē nebija parādījušies nekādi pārkāpuma dati, daudzi apgalvoja, ka viņu konti tomēr ir apdraudēti.

"Vai šie nopietnie incidenti, iespējams, liek mums automātiski pieņemt ļaunāko? Vai tas liks mums būt piesardzīgiem, risinot ikdienas apgalvojumus, ka kāda liela klātbūtne tīmeklī ir kļuvusi par viena no šiem uzbrukumiem upuri? rakstīja Trojs Hants, drošības pētnieks, kurš vada pārkāpumu paziņošanas vietni Vai esmu ticis nozagts.

Lūk, brīdinājums par spoileri: uzņēmumam nav obligāti jābūt uzlauztam sistēmām, lai kļūtu par "uzlaušanas" upuri — vismaz tā, kā tas izskatās. Visticamāk, ka gadiem ilgi paroļu atkārtota izmantošana atgriežas, lai aizmugures iekostu miljoniem. jo šos koplietotos pieteikšanās sarakstus var pārsaiņot un pārdot tālāk kā “pārbaudītu” cita lietotāja pārkāpumu. apkalpošana.

Ņemot vērā dažas no nesenajām uzticības problēmām Silīcija ielejā (domājiet par Edvardu Snoudenu), šie uzņēmumi saskaras ar uztveres problēmām, kuras ir grūti pārvarēt.

Veci uzbrukumi, jauni pārkāpumi

Pārbaudītu uzlaušanas gadījumā — MySpace, LinkedIn un Tumblr — nav zināms, no kurienes iegūti dati vai kā uzlaušana notika. Taču pārsteidzoši, ka tagad galveno vietu ieņem paši pārdevēji, un tiek teikts, ka viņi rezultātā gūst labumu.

Pēc vairākām sarunām pēdējo trīs nedēļu laikā, lūk, ko mēs domājam zinām.

Tiek uzskatīts, ka Tessa88 pirmo reizi parādījās šī gada sākumā — nav skaidrs, vai viņa (viņas dzimums nav zināms, bet attiecas uz pati daudzos hakeru forumos kā sieviete) ir daļa no plašākas grupas, taču ir zināms, ka viņa iegūst datus par pārkāpumiem un pārdod tos bitcoin.

Ar saitēm uz nesenajiem MySpace un VK.com datu pārkāpumiem viņa nesen ieguva savu vārdu, iegūstot vairāk nekā 300 miljonus Twitter pieteikšanās. Tas bija vēlāk pārskatīts līdz 32 miljoniem pieteikšanās, un analīze parādīja, ka aiz nopludinātajiem datiem nebija nekāda uzlaušanas. LeakedSource sacīja, ka akreditācijas dati, visticamāk, tika savākti no pašu kontu īpašnieku datoriem.

Savukārt Twitter noliedza jebkādu pārkāpumu, neskatoties uz daudzajiem virsrakstiem ierosinotcitādi.

Jebkurā gadījumā par to nevar pārliecināties — un tas ir viens (vai divi) pret uzticamu uzņēmumu.

Tessa88, kura ar mani runātu tikai krieviski, arī apgalvo, ka viņai ir konti vietnē Qip.ru, Rambler.ru un Mobango, cita starpā, kas svārstās no 10 (apmēram 5780 USD) līdz 15 bitkoiniem (apmēram 8670 USD) cenā. Kad mēs lūdzām paraugu, lai pārbaudītu, viņa lūdza mums bitcoīnu — kaut ko mēs atteicāmies darīt.

Bet tajā pašā arēnā ir vēl viens pārdevējs, kas tiek dēvēts par "Peace" — hakeris, kurš ieguva savu vārdu, pārdodot dažādas zagtu datu kopas no Fling, LinkedIn, Badoo un VK.com.

Tagad pārdevēji (neatkarīgi viens no otra) pretendē uz savu daļu uz daudz lielāku to pašu tehnoloģiju skalpu komplektu.

Abi pārdevēji apgalvo, ka viņu īpašumā ir vairāk nekā 836 miljoni ar Facebook saistītu kontu, kas, domājams, ir datēti ar šī gada februāra vidu. Peace sacīja, ka vārdā nenosaukta apsardzes firma ir ieinteresēta iegādāties datus, taču neatklāja, kura. Viņš teica, ka dati drīzumā tiks izlikti pārdošanā.

Abi hakeri arī apgalvo, ka viņiem ir 160 miljoni un 332 miljoni kontu — atkarībā no tā, kam vaicājat — saistīti ar Instagram, kas, pēc viņu domām, tika nozagti 2014. gadā.

Atšķirībā no citiem pārkāpumiem, ne Tessa88, ne Peace nekopīgos datus, kas saistīti ar iespējamiem Facebook un Instagram pārkāpumiem.

Facebook, kam pieder arī Instagram, ceturtdien ierakstu nekomentēs.

Atkal tas ir "viņš teica" pret "viņa teica". Un neatkarīgi no tā, cik maldīgi vai pārspīlēti ir hakeru apgalvojumi, nav galīga veida, kā pierādīt nevienu gadījumu.

Peace arī apgalvoja, ka viņam ir vairāki mazāki pārkāpumi, kurus viņš pārdos par vienu vai diviem bitkoiniem, piemēram, 23 miljoniem. konti ar JustMate.com, iepazīšanās vietni, kas savā mājaslapā apgalvoja, ka tai jebkurā brīdī tiešsaistē ir desmitiem tūkstošu lietotāju laiks. Vietnes īpašnieks Džeimss Kings e-pastā norādīja, ka viņam ir tikai 1300 aktīvo lietotāju.

Pēc tam Kings draudēja ar tiesvedību, ja mēs publicēsim "jebkuru negatīvu informāciju par mūsu vietni".

Un, ja ar to vēl nepietiktu, Pīss apgalvo, ka viņam ir 1,1 miljards kontu, kas saistīti ar Yahoo, kas, pēc viņa teiktā, "nododas NSA labā". atsauci viņš neprecizēja, taču, iespējams, tam ir kāda saistība ar tās nosaukšanu kā daļu no slepenās PRISM valdības uzraudzības. programma.

Parādās hakeru pagrīde

Ņemot vērā to, ka abi pārdevēji tiekas pa vidu par to, kas varētu būt lielākais jebkad zināmais datu pārkāpums, jūs varētu domāt, ka varētu būt aizmugures stāsts. Un, ja jūs domājat, kāda ir saikne starp abiem, pievienojieties klubam.

Izrādās, ka abi pārdevēji vienkārši ienīst viens otru.

"Viņi nemaz nav draugi," sacīja viens no LeakedSource dalībniekiem, kurš netika identificēts. "Viņi abi pārdod datus... viņi iegūst datus un pārdod tālāk."

Peace man nav pavēstījis ne savu vārdu, ne vecumu, taču tiek uzskatīts, ka viņš dzīvo Eiropā, tomēr avots, kurš apgalvo, ka zina par viņa darbu, teica, ka viņš dzīvo ASV centrālajā daļā. Viņš pirms dažām nedēļām sacīja, ka viņam nav oficiālas hakeru grupas, taču viņš laiku pa laikam strādā ar Krievijas hakeriem. Šī gada sākumā viņš atzina, ka viņš instalēja aizmugures durvis Linux Mint izplatīšanāun dažkārt pārdod privātus izmantošanas pakalpojumus ievainojamībām tumšajā tīmekļa tirgos.

Lai gan Peace parasti strādās tumšajā tīmekļa tirgū, ko viņš izmanto datu pārdošanai, Tessa88 ir atšķirīgs stils, tiecoties pieturēties pie krievu valodas forumu dēļiem — būtībā "clearnet" vietnēm, kuras var atrast regulāri internets.

Bet no avotiem, ar kuriem mēs runājām un kuriem ir zināšanas par abiem pārdevējiem, ir apsūdzības, ka Peace ir vairākas reizes ieguva it kā uzlauztos datus no Tessa88, izmantojot starpniekserveri, kas var izskaidrot, kāpēc viņa diez vai ir fano par viņu.

Šonedēļ šifrētā tērzēšanā viņa nosauca Peace par "māti, krāpnieku" un "vēl vienu bērnu, kurš pārdod manas datu bāzes". Viņa teica: "Viņš mani ir piekrāpis, un man nepatīk nodevēji."

Miers neatbildēja, kad jautājām par Tessa88.

Tiek uzskatīts, ka datu sākotnējais avots ir Tessa88, taču viņa neteiks, kā viņa tos ieguvusi. Tā vietā viņa sporādiski runāja par dīvainām tēmām šifrētā tērzēšanā, piemēram, par to, kā viņa apmeklēs pludmali, tomēr viņa "nedroša" un arī (varbūt ērti) nevarēja parādīt daļu no uzlauztajiem datiem, jo ​​viņas automašīna bija sabojājusies uz Avtomagistral.

Līdzīgas sarunas bija arī citiem cilvēkiem, ar kuriem runājām un kuri arī bija sazinājušies ar Tessa88.

Lielais miljonu dolāru jautājums ir tas, no kurienes iegūti dati.

"Nu," sacīja Peace, "Tumblr, MySpace, LinkedIn, Facebook, Fling un vēl daudz kas nāks," viņš teica. "Tos visus ir uzlauzuši vieni un tie paši cilvēki. Vai tas ir es vai kāds cits? Nu, ļaujiet FIB "izmeklēt" un noskaidrot," viņš man teica pagājušajā piektdienā.

Bet jo ilgāk dati bija slepeni, jo vērtīgāki tie kļūst — izmantošanai pagrīdes tirgū pēdējo dažu gadu laikā, līdz tam laikam tie vairs nav noderīgi. Pēc tam dati tiek klusi paziņoti tumšā tīmekļa forumā (Pea gadījumā) vai hakeru forumā (Tessa88 gadījumā), kur tos var pārdot par cenu un mainīties atkarībā no brīvā tirgus. ekonomika — un, ja prese pārbauda datus, cena pieaug, bet, ja to pārbauda pārāk daudz un uzskata, ka tas ir uzpūsts vai atkārtots pārkāpums no agrāka uzlaušanas, cena var dramatiski piliens.

Hunt teica nesenā intervija: "Iespējams, ka tam, kurš vispirms izfiltrēja šos datus, ir bijis kāds katalizators, kas licis tos izlaist, tāpēc varbūt viņi vēlas tikt skaidrībā un vēlas tos iekasēt."

"Taču nepārprotami ir bijis kāds notikums, kas licis šiem datiem, kas tik ilgu laiku ir bijuši neaktīvi, pēkšņi nonākuši šeit pasaulē," viņš piebilda.

Paroles kā patogēns

Šķiet, ka tas, šķiet, ir slepens kooperatīvs divu hakeru datu pārdošanai un atkārtotai pārskatīšanai, tagad, visticamāk, atgādina - labāka termiņa trūkuma dēļ - dusmīgs konkurss starp diviem hakeriem, kuri sacenšas par trešās puses datu pārdošanu par ātru naudu tumsā tīmeklī.

Šai atkārtotajai vēsturisko pārkāpumu tēmai ir mazs modelis vai virziens, un tai ir daži panākumi un neveiksmes, kas padara to gandrīz neiespējamu paredzēt. Ažiotāža un pēkšņā ticības un uzticības kritums hakeru vārdiem tagad padara neiespējamu pierādīt jaunus iespējamos pārkāpumus, kad tie notiek.

Un tas, kas visvairāk ietekmē uzlaušanas sāgu — labāk hakeriem un pārdevējiem, bet sliktāk parastai sabiedrībai — ir paroļu atkārtotas izmantošanas šausmīgais stāvoklis. Šī paroļu koplietošana starp pakalpojumiem ir drošības pamatnosacījums. Divi pakalpojumi ar vienādiem akreditācijas datiem, un jūs varat nodot paroļu sarakstu ar prasību par uzlaušanu katrā. Kad pietiekami daudz kontu ir kopīgojis lietotājvārdus un paroles, rada ilūziju, ka tas ir pārkāpts, un no tā ir grūti aiziet, jo uzņēmumam ir gandrīz neiespējami pierādīt, ka tā nav bijis uzlauzts.

Tā kā tumšā tīmekļa tirgus gandrīz sasniedz miljards pieteikšanās reižu, un vēl viens miljards, domājams, ir gaidāms, nav saprātīgi gaidīt sliktāko. "Ir noticis uzlauzums." "Pārkāpa vēl viena kompānija." Recirkulētie dati paliks noderīgi kādam — an konta nolaupītājs, pikšķerētājs vai vienkārši parasts surogātpasta izplatītājs — vienā vai otrā veidā un gadiem ilgi nāc.

Pateicoties desmit gadu sliktai drošībai un sliktajām parolēm, šie pārdevēji mēnešiem un gadiem var vienkārši pārsaiņot mūsu bailes un neveiksmes — un lielākoties mēs neesam gudrāki.