«Вероятность наличия ваших данных в этих сливах достаточно высока»: чем грозит рекордная утечка паролей?
В открытом доступе оказалось около 16 млрд учетных записей в 30 открытых наборах данных. Внутри — логины и пароли от аккаунтов Apple, Google, GitHub, Telegram, Instagram и Facebook (принадлежат Meta — признанной в РФ экстремистской организацией)
«Это свежая, масштабная информация, которую можно использовать в качестве оружия»
О рекордной по своим масштабам и качеству утечке данных заявили сегодня специалисты компании Cybernews. В открытом доступе оказалось около 16 млрд учетных записей в 30 открытых наборах данных. Внутри — логины и пароли от аккаунтов Apple, Google, GitHub, Telegram, Instagram и Facebook (принадлежат Meta — признанной в РФ экстремистской организацией). Такой слив открывает массу возможностей для хакеров, которые могут получить доступ к аккаунтам пользователей, их почте и другим сервисам.
Все наборы новые и о них не сообщалось ранее. «Особенно тревожит структура и новизна этих наборов данных — это не просто старые взломанные системы, которые используются повторно. Это свежая, масштабная информация, которую можно использовать в качестве оружия», — заявили исследователи. Ранее журнал Wired сообщил, что исследователь в области безопасности обнаружил «таинственную базу данных» с 184 миллионами записей, но теперь выясняется, что это лишь малая часть от всего объема данных.
Какие записи оказались скомпрометированы? Один набор данных с более чем 455 миллионами записей был назван в честь Российской Федерации, говорится в публикации. Еще один с более чем 60 миллионами записей связан с Telegram. В самом большом наборе, скорее всего, связанном с португалоязычным населением, было более 3,5 миллиардов записей. Причем в некоторых данных также были добавлены cookie-файлы, токены и другие метаданные, необходимые для автоматического входа. По словам экспертов, утечка представляет большую угрозу для организаций, в которых не используется многофакторная аутентификация или не соблюдаются правила цифровой гигиены.
К счастью, как отмечается, все наборы данных были доступны лишь на короткое время. Но это, конечно, не гарантирует, что они не успели попасть в руки злоумышленников. И это не позволило исследователям понять, кто контролировал огромные объемы данных.
«Подобные сборы логинов и паролей, как правило, продаются за какие-то небольшие деньги, но массово. Для того, чтобы использоваться в дальнейших атаках»
Во всем виноваты программы-шпионы?
Специалисты предполагают, что большинство данных могли быть получены с помощью программ-шпионов, которые собирают конфиденциальную информацию без ведома пользователя. Некоторые наборы также были названы в честь вредоносного программного обеспечения. При этом каждые несколько недель появляются новые огромные наборы данных, что говорит о том, насколько распространено вредоносное ПО для кражи данных, отмечается в публикации.
«Информация, которую удалось собрать команде, показала, что большая часть данных имела четкую структуру: URL-адрес, за которым следовали данные для входа в систему и пароль. Большинство современных программ-шпионов, похищающих конфиденциальную информацию, собирают данные именно таким образом», — отмечает Cybernews.
Подцепить программу-шпион можно разными способами, например, скачав приложение из ненадежных источников, через фишинговые атаки, когда злоумышленник отправляет жертве сообщение от чужого имени и убеждает скачать вредоносный файл или поделиться личными данными.
Некоторые мошенники под видом работодателя убеждают жертву установить приложение якобы для отслеживания процесса работы. Историей с «БИЗНЕС Online» поделился один из татарстанцев, который хотел устроиться на работу тестировщиком. Правда здесь уже не шло речи о незаметной краже данных. «В этот же день после снятия код-пароля высветилась блокировка с надписью „Найти мой iPhone“, а ниже сообщение: Ваш iPhone заблокирован, для того, чтобы его разблокировали, нужно написать в телеграм-канал. Там отвечает человек и предлагает сумму, за которую он даст пароль от телефона, чтобы вернуть его в исходное состояние. В зависимости от версии Apple устройства цена варьируется», — рассказал он. В сервисном центре парню не помогли, и отметили, что он единственный посетитель с такой же проблемой. Пришлось покупать новый телефон.
«Насколько мне известно, это самый большой объем данных, который был выложен в сети. Возможно, есть еще, но мы его не видим. Скорее всего, эти данные получены „благодаря“ вирусам, которые занимаются как раз специализированной кражей данных. Они просто сидят у нас на компьютерах, ведут себя тихо, но смотрят, куда мы ходим, и забирают данные с клавиатуры. Как правило, это следствие отсутствия антивирусных программ на компьютере», — отмечает и руководитель компании LiveInternet, председатель совета Фонда развития цифровой экономики, бывший советник президента РФ по Интернету Герман Клименко.
Скорее всего у утечки нет единого заказчика, отмечает он. Есть команды, которые пишут именно такой тип вирусов и предлагают свои услуги. «И покупатели уже приходят и они говорят: „Нам нужна Россия, город Москва, посетители Госуслуг“. Получили 200 тысяч записей, заплатили 200 тысяч рублей. Я не знаю настоящих цен там, но они не самые высокие. То есть собирается огромная база данных, готовых к продаже мелкими партиями. Просто такая, разделенная история и, видимо, накопились такие объемы, которые до нас дошли, а мы теперь сидим и думаем, что же со всем этим делать», — добавляет он.
Эксперт по информационной безопасности, сооснователь компании «Третья сторона» Антон Бочкарев указывает, что обычно такие данные просто так не выкладывают в открытый доступ: «Подобные сборы логинов и паролей, как правило, продаются за какие-то небольшие деньги, но массово. Для того, чтобы использоваться в дальнейших атаках. Когда это появляется публично — это совсем другой вопрос. Скорее всего, по какой-то причине публикуют данные те, кто купил их ранее. Либо это делают для привлечения внимания к какой-либо, скажем так, группе и так далее», — указывает он.
«По оценкам экспертов, вероятность наличия ваших данных в этих сливах достаточно высока — особенно если вы не используете двухфакторную аутентификацию (2FA) и применяете одинаковые пароли на разных сайтах»
Что делать?
Для у тех кого включена двухфакторная аутентификация ничего страшного не случилось, отмечает Клименко. Но на всякий случай он и другие эксперты, опрошенные «БИЗНЕС Online», рекомендуют сменить пароль. «Наверное, идеально перезайти, перелогиниться в тех сервисах, которыми вы пользуетесь, и все-таки поставить антивирус. Самая неприятная вещь в том, что вирус ворует не „пароль — логин“, а ворует сookies. И укравшие авторизацию в текущей сессии с другого компьютера могут зайти на те сайты, которые вы посещаете. И на этих сайтах злоумышленников признают, как вас. И этот мошенник под вашим именем может что-то нехорошее сделать», — добавляет Клименко.
«Текущая информация о масштабной утечке данных все еще уточняется. Паниковать не стоит — подобные базы появляются и исследуются постепенно, причем большинство из них представляют собой не свежие утечки, а компиляции старых данных, — говорит руководитель Центра информационной безопасности Университета Иннополис Михаил Серегин. — Чаще встречаются не столько утечки из онлайн-сервисов, сколько агрегации паролей, полученных с устройств через вредоносное ПО. Вполне вероятно, что текущая база данных паролей относится именно к этой категории. Тем не менее, по оценкам экспертов, вероятность наличия ваших данных в этих сливах достаточно высока — особенно если вы не используете двухфакторную аутентификацию (2FA) и применяете одинаковые пароли на разных сайтах». Помимо смены пароля в качестве профилактики он отмечает, что проверить, утекли ли именно ваши данные, можно будет позже через специализированные сервисы: международный HaveIBeenPwned или российский Safe-surf.
«Высоки риски особенно для тех, кто использует один и тот же пароль в разных сервисах. Потому что после того, как это пароль будет известен злоумышленникам, они смогут пытаться проверить пароль и на других сервисах. А люди зачастую забывают сменить пароль, скажем так, везде. Тем, у кого один пароль для всех сервисов, особо сложно будет проконтролировать смену паролей, — говорит сооснователь компании «Третья сторона» Бочкарев. Самый безопасный вариант — это использовать менеджер паролей и генерировать их случайным образом, добавляет он: «Даже в телефонах обычно предлагают сгенерировать безопасный пароль, который будет храниться в памяти телефона. Это наиболее безопасный вариант, потому что не нужно запоминать пароли, соответственно, не нужно будет их менять. Если утечка произошла только с конкретного сервиса, просто можно будет легко поменять пароль именно в этом аккаунте, и не переживать».
«Как правило у нас, когда обновляют пароль, в конце меняют какую-нибудь циферку или буковку, и считают, что пароль поменяли. Но есть роботы, которые наши пароли ищут в даркнете, то есть в помойках неактуальных паролей. И по 2-3 нашим паролям можно понять, какой у нас сейчас действующий пароль. Поэтому не надо полагаться на такие вот глупости. Пароль должен быть стойким и отличаться от предыдущего, — отмечает эксперт по кибербезопасности Олег Седов.
Специалист пояснил, что существует категория граждан — «цифровые нигилисты», которые считают, что у них ничего нет и они никому не интересны. Но он напоминает, что у таких людей есть родственники, друзья, знакомые, которые могут быть более интересны в финансовом плане для злоумышленников, чем они сами. Со скомпрометированных ресурсов «цифровых нигилистов», их аккаунтов в Telegram затем идет рассылка, призывы о помощи и прочие сообщения. Таким образом злоумышленники добиваются большего результата, чем если бы просто взломали аккаунт какой-то известной персоны. «Мы в ответе за тех, с кем мы общаемся в интернете, в онлайне. Мы же не живем в вакууме», — добавляет он.