Ha még nem ismeri a haveibeenpwned.com nevű weboldalt, ennél jobb alkalmat nem talál az ismerkedésre. Az online adatbázison keresztül azt deríthetjük ki, hogy korábban érintettek voltunk-e adatlopásban, ehhez csak egy e-mail címünket kell megadnunk, majd a rendszer listázza, hogy melyik nagy szivárgás során kerültek ki bejelentkezési adataink az internetes feketepiacokra.
Az adatbázist Troy Hunt biztonsági szakember, a Microsoft ausztráliai regionális igazgatója működteti, aki arról számolt be blogján, hogy két különböző olyan kombólistához is hozzájutott, amelyek e-mail címeket és a hozzájuk tartozó jelszavakat tartalmaznak.
Az egyikre Exploit.in-ként hivatkozik, ez több mint 111 szöveges dokumentumot tartalmaz, és 24 gigabájtot tesz ki. A listán 593 millió egyedi e-mail címet talált, és az azokhoz tartozó különféle jelszavakat – többet is, mivel a hackereknek sikerült többszörösen meghekkelniük a felhasználót, ha több közösségi oldalon és fórumon is ugyanazzal az e-mail címmel regisztrált.
Hunt hozzájutott az Anti Public nevű listához is, ami hasonlóan méretes, és 457 962 538 rekordot tartalmaz. A két adatcsomagot átvizsgálva ugyan sok egyezőséget talált, és pár kombó már korábban is bekerült a Have I Been Pawned adatbázisába, még így is rengeteg új érintettségre derült fény.
A kombólisták felfedezése előtt még 2,700,000 ezer rekordot tartalmazott, ezt sikerült most 3,75 milliárd találatra növelni.
Hunt vizsgálata szerint az adatok hitelesek. Egy régi, általa használt e-mail címet is fellelt a csomagban. A kapcsolatot több érintettel is felvette, akik közül többen is megerősítették, hogy valóban használták adott kombinációt, de ő maguk sem emlékeztek arra, hogy pontosan melyik oldalon és hol. Sokaknál ez egy bevált, régóta használt jelszó volt.
Mivel Huntnak egyelőre még nincs információja arról, hogy az adatok honnan származnak, meg nem erősített címkével jelzi a szivárgást, de már mi is ellenőrizhetjük, hogy érintettek vagyunk-e. Ehhez erre a linkre kell ellátogatnunk, és beírni e-mail címünket.
A felhasználók trehánysága
Az online feketepiacon talált két listát valószínűleg hackerek bővítgették egymást közt az újabb és újabb megszerzett kombókkal, hiszen korábbi adatszivárgások (MySpace, LinkedIn) során kikerült bejelentkezési adatpárosok is szerepeltek benne. Ezeket egymás közt is árusították.
Mit csinálnak a bűnözők ezzel a rengeteg e-mail címmel és jelszóval? Többek közt megpróbálnak belépni más weboldalakra is ugyanazzal a belépő párossal. Ha valaki például megszerezte egy korábbi LinkedIn-szivárgás alkalmával a címhez tartozó jelszót, megpróbálhat azzal belépni a Facebookon, ha valakinek épp a Facebook-profiljára fáj a foga.
Így elég, ha csak egyik sebezhető felületen keresztül szivárognak ki a bejelentkezési adataink, azzal egyben egy másik fiókunkhoz is hozzájuthatnak.
A hackerek ezt az emberi felelőtlenséget is kihasználják, ezért kezdték el alkalmazni az úgynevezett “credential stuffing” módszert, ami a brute force, azaz teljes kipróbálás módszerek alá tartozik. Ennek során automatizált megoldásokkal próbálgatják más weboldalakon beilleszteni a megszerzett belépési adatokat, míg nem egyezőséget találnak, és hozzáférést szereznek másik fiókhoz is.
Ez egy komoly probléma több szempontból is. A módszert nagyon könnyű automatizálni, mindössze egy szoftver kell hozzá, ami a belépési folyamatot végzi el a kinézett oldalon. Ilyeneket, valamint cím-jelszó párosokat tartalmazó adatbázisokat már a Twitteren és netes feketepiacokon is árulnak, és gyakorlatilag bármilyen hozzáértő rosszakarónk kihasználhatja.
