Milioni kompromitovanih kredencijala kruže internetom, dijeljeni među sajber kriminalcima preko različitih kanala, otkrila je kompanija za sajber bezbjednost Synthient.
Kombinovanjem podataka sa više platformi, uključujući Telegram kanale, forume, društvene mreže i Tor mrežu, Synthient je kreirao ogromnu bazu curenih kredencijala koja sadrži 183 miliona jedinstvenih adresa e-pošte.
Većina kredencijala, objašnjava kompanija, dijeljena je uglavnom putem Telegrama i potiče iz infekcija informacionim kradljivcima (infostealer malware). Oni nisu izvučeni hakovanjem organizacija, već kompromitovanjem korisnika malverom.
Podaci potiču od primarnih prodavaca ukradenih informacija, agregatora koji sakupljaju infostealer logove i ponovo ih objavljuju na svojim kanalima, kao i od hakera koji šire malver koji koriste ti prodavci.
U želji da bolje razumije infrastrukturu protivnika, Synthient je razvio sistem za prikupljanje i analizu svih procurjelih informacija, nakon čega je podatke kompajlirao i proslijedio servisu za obavještenja o kompromitacijama Have I Been Pwned.
Baza podataka od 3,5 terabajta sadržala je 23 milijarde redova, uključujući adrese e-pošte, lozinke i web sajtove na kojima su kredencijali korišćeni, objašnjava Troy Hunt, osnivač Have I Been Pwned.
Većina kredencijala koje je Synthient prikupio već se nalazila u postojećoj bazi Have I Been Pwned. Samo 9% nisu bile dio prethodnih kompromitacija, što ipak predstavlja značajan broj – 16,4 miliona adresa e-pošte.
Hunt je potvrdio autentičnost podataka, a sada su adrese e-pošte i sajtovi na kojima su korišćene dostupni za pretragu putem Have I Been Pwned servisa.
Osim infostealer logova, Synthientovi podaci sadržali su i tzv. credential stuffing liste, koje se obično prikupljaju iz već postojećih kompromitacija i zatim koriste za preuzimanje naloga na raznim platformama.
Međutim, podaci koje je prikupio Synthient nisu potekli iz jedne konkretne kompromitacije – a posebno ne iz Gmaila – kako su to tvrdili brojni medijski naslovi proteklih dana, što je izazvalo oštru reakciju Googlea.
„Izvještaji o ‘Gmail bezbjednosnom incidentu koji je pogodio milione korisnika’ nisu tačni. […] Ovi netačni navodi potiču iz nerazumijevanja infostealer baza podataka, koje rutinski sadrže različite ukradene kredencijale prikupljene sa interneta. To ne odražava novu kampanju usmjerenu ka bilo kom pojedincu, alatu ili platformi“, saopštio je Google na mreži X.
Najbolja zaštita od krađe kredencijala, poručuje Google, jeste korišćenje višefaktorske autentifikacije (MFA) i prelazak na passkey opciju, koja je bezbjednija od lozinki. Kompanija je dodala da korisnici treba odmah da promijene lozinke kada se pojave velike serije curenih kredencijala.
„Ogroman broj kompromitovanih lozinki svake godine trebalo bi da bude snažan podsticaj za uključivanje MFA i da ljude navede da ozbiljnije razmisle o važnosti zaštite naloga, posebno naloga e-pošte“, rekao je Erich Kron, CISO savjetnik u kompaniji KnowBe4.
Izvor: SecurityWeek
