Огромна база данни с повече от 2,7 милиарда имейл адреси беше оставена изложена в интернет, достъпна за всеки, който има уеб браузър. Повече от един милиард от тези записи също съдържаха обикновена парола, свързана с имейл адреса.
Comparitech си сътрудничи с изследователя по сигурността Боб Диаченко, за да разкрие базата данни на 4 декември [year] г. Въпреки че собственикът на базата данни не е идентифициран, Диаченко веднага алармира американския ISP, който е домакин на IP адреса, за да го свали.
По-голямата част от имейлите са от китайски домейни, включително qq.com, 139.com, 126.com, gfan.com и game.sohu.com. Тези домейни принадлежат на някои от най-големите интернет компании в Китай, включително Tencent, Sina, Sohu и NetEase.
Няколко имейл адреси имаха Yahoo и Gmail домейни, както и някои руски такива като rambler.ru и mail.ru.
След проверка заключихме, че всички имейли с пароли произхождат от така наречения „голям азиатски теч“, първо разкрит от HackRead. През януари [year] г. тъмен уеб доставчик продаваше записите, включващи пароли.
Времева линия на теча
Comparitech веднага предприе стъпки, за да свали базата данни при откриването си, за да смекчи вредата за крайните потребители, но не знаем дали някой е получил достъп до нея междувременно. Ето какво знаем:
- 1 декември [year] г. Базата данни първо е индексирана от търсачката BinaryEdge и оттогава е обществено достъпна.
- 4 декември [year] г.: Диаченко откри базата данни и веднага предприе стъпки за уведомяване на отговорните страни.
- 9 декември [year] г.: Достъпът до базата данни е деактивиран.
Като цяло, данните бяха изложени повече от седмица, което дава на злонамерените страни достатъчно време да ги намерят и копират за собствени нужди.
Изглежда, че базата данни се актуализира и увеличава в реално време. Броят на сметките се увеличи от 2,6 на 2,7 милиарда между времето, когато изпратихме известие, и когато базата данни беше свалена.
Каква информация беше изложена?
1.5 TB данни съдържаше изумителните 2.7 милиарда записи. Повече от 1 милиард от тях включват пароли.
Тъй като много китайци имат проблеми с четенето на английски знаци, те често използват своите телефонни номера или други цифрови идентификатори като потребителски имена. Ето защо можем да предположим, че много от тези имейл адреси съдържат и телефонни номера.
В допълнение към имейл адресите и паролите, записите съдържаха хеши на MD5, SHA1 и SHA256 на всеки имейл адрес. Хешовете са кодиран текст – в този случай имейл адреса – с фиксирана дължина. Те често се използват за сигурно съхраняване на данни в сценарии, когато би било твърде опасно да се съхраняват данни с обикновен текст. Включването им в тази база данни не служи за очевидна цел, но те биха могли да бъдат използвани за облекчаване на търсенето на релационни бази данни.
Опасности от открити данни
База данни като тази вероятно ще бъде използвана за пълнеж с идентификационни данни. Пълненето с доверие е атака, която се опитва да влезе в различни онлайн акаунти с известни комбинации от имейл и парола. Хакерите се възползват от факта, че много хора използват един и същ имейл и парола в множество акаунти. Те използват автоматизирана система за опит за влизане в няколко сайта, използвайки идентификационните данни, съхранявани в базата данни.
След като хакерите получат достъп до акаунт, те могат да го отвлекат чрез промяна на паролата и свързания имейл. След това той може да се използва за най-различни цели, включително спам, фишинг, измами, кражби и други.
Засегнатите потребители трябва незабавно да променят паролите на своите имейл акаунти, както и всички други акаунти, които споделят същата парола.
Какво е „големият азиатски изтичане на данни“
През януари [year] г. HackRead съобщи, че тъмен уеб доставчик продава 1 милиард потребителски акаунти, откраднати от китайски интернет гиганти. Докладът споменава, че повече от 60 копия на данните са били продадени в момента на писане за около 615 долара всеки в Bitcoin.
Повечето записи, но не всички, съдържат имейл адреси от китайски домейни:
- Netease: Около 322 милиона записа от собствености на Netease, включително 126.com, 163.com, 163.net и Yeah.net.
- Tencent: Около 130 милиона имейла съдържаха домейна qq.com. Компанията, която притежава WeChat, притежава и QQ, една от най-популярните в Китай платформи за незабавни съобщения.
- Sina: 31 милиона записа включват домейна sina.com, който принадлежи на компанията, която оперира като китайската социална мрежа Twitter, Sina Weibo.
- Соху: 23 милиона записа съдържаха домейни на sohu.com. Sohu оперира с широк спектър от онлайн услуги, включително търсачка, реклама и онлайн игри.
Други забележителни собственици на домейни, чиито потребители са засегнати от теча, включват: TOM Online (tom.com), Eyou (eyou.com), SK Communications (nate.com), Google (gmail.com), Yahoo (yahoo.com), и Hotmail (hotmail.com).
Доставчикът DoubleFlag е добре известен с това, че продава високопрофилни нарушени данни. Изрезките на колана му включват Epic Games, uTorrent Forum, BitcoinTalk.org, Yandex.ru, Mail.ru, Dropbox, Brazzers и Experian.
Как и защо открихме този теч
Comparitech си партнира с експерта по сигурността Боб Диаченко, за да сканира интернет и да открие бази данни, които са оставени изложени на обществеността. Когато открием такъв, веднага предприемаме стъпки, за да уведомим отговорните страни да го изключат или да премахнат достъпа.
Диаченко използва многогодишния си опит в киберсигурността, за да открие и анализира тези течове. Той прави всеки опит да идентифицира кой е отговорен за данните, за да могат те да ги защитят.
След това проучваме откритите данни, за да разберем чии лични данни са изтекли, какво съдържат, за колко време са били изложени и какви заплахи могат да бъдат изправени жертвите. Ние съставяме своите констатации в доклад като този, за да повишим информираността на засегнатите. Надяваме се да ограничим достъпа и злоупотребата с лични данни от злонамерени страни.
Предишни отчети
Това е най-голямата експозиция на данни, която Comparitech е открил до момента. Някои от другите ни доклади включват:
- Подробни лични записи на 188 милиона души, открити изложени в мрежата
- 7 милиона студентски записи, изложени от K12.com
- 5 милиона лични записи, принадлежащи на MedicareSupplement.com, изложени на публично достояние
- Изложени са 2,8 милиона клиентски записи на CenturyLink
- Протичаха клиентски записи на 700k Choice Hotels
база данни. Те също трябва да бъдат нащрек за нередности в техните акаунти и да ги докладват незабавно. Освен това, потребителите трябва да избягват използването на една и съща парола за множество акаунти и да използват силни пароли, които са трудни за отгатване. Накрая, компаниите трябва да вземат мерки за защита на личните данни на своите потребители и да ги съхраняват в сигурност, за да се предотвратят подобни инциденти в бъдеще.