Olvasónk hívta fel rá a figyelmünket, hogy a haveibeenpwned.com (HIBP) új bejegyzéssel bővült november 19-én. Ez egy online adatbázis, ahol bárki ellenőrizheti, hogy az e-mail címe korábban érintett volt-e adatszivárgásban, és azt is megnézhető, hogy melyikben. Ezt érdemes akár most rögtön elvégezni, hiszen volt már rá példa, hogy olyan, magyarok által is előszeretettel használt szolgáltatásokat törtek fel, mint a LinkedIn, a Myspace vagy a Tumblr, és még ezen időkből is keringenek megszerzett felhasználónév/jelszó párosok a neten.
A pakkban vannak titkosított jelszavak, de olyanok is, amiket nyers szövegfájlban tároltak, tehát védelem nélkül olvashatók. A gyűjtemény eredetileg a Cit0day.in nevű szolgáltatáshoz tartozott, amit kiberbűnözők kínáltak más kiberbűnözőknek. Innen feltört adatbázisokból származó felhasználóneveket, e-mail címeket, jelszavakat lehetett vásárolni napi, vagy havidíjas rendszerben, míg szeptemberben be nem zárta kapuit. Ezután kezdtek el keringeni a pletykák a hackerfórumokon, hogy a készítőt, bizonyos Xrenovi4-et letartóztathatták, mivel az oldalon már csak egy olyan üzenet olvasható, miszerint az FBI lecsapott rá. Egyesek szerint valójában nem történt hatósági beavatkozás, az értesítő hamis.
A ZDNet szerint nem egyértelmű az sem, hogy Xrenovi4 maga szivárogtatta-e ki az adatokat, vagy tőle lopták el, mindenesetre a Cit0day korábban pénzért kínált adatbázisának egy része ingyen letölthető formában bukkant fel a sötét webes fórumokon. Így jutott hozzá a haveibeenpwned.com tulajdonosa, Troy Hunt biztonsági szakértő, a Microsoft ausztráliai regionális igazgatója, aki a belépési információk közül többet is szúrópróbaszerűen tesztelt, és bejegyzésben részletezte főbb megállapításait. A szakember szerint a csomag nagy eséllyel valódi, működő belépési kombinációkat tartalmazhat, ezt egy olasz biztonsági cég, a D3Lab is megerősítette. A Hunt által vizsgált csomag egyébként csak 30 százaléka lehet a Cit0day teljes gyűjteményének.
Magyar egyetemek, Borkai, műszempilla webshop
Hunt szerint a belépési adatok több mint fele már korábbi, régebbi csomagokban is megtalálható, az érintett oldalak közül pedig rengeteg a kisebb látogatottságú, gyengébb védelmű lap, amelyekről kifejezetten könnyű lopni. A 13 gigabájtos Cit0Day.zip fájl két főbb mappát, azokon belül több almappát tartalmaz, és
Ez ugyan elsőre soknak hathat, de a haveibeenpawned.com top tízes listájára való felkerüléshez még nem elég, és ahogy Hunt is kiemeli, sok közte a régi adat – de természetesen akadnak frissen gyűjtöttek is.
Hunt böngészhetővé tette az érintett oldalak listáját a GitHubon, így a .hu-s végződésű domainekre mi is célzottan tudtunk keresni. Az adatcsomag első mappájában 180, míg a másodikban 115 darabot találtunk, köztük több magyar egyetem és erotikus oldal címét is. Pár közülük:
- metropolitan.hu (Budapesti Metropolitan Egyetem)
- enkk.hu (Emberi Erőforrás Fejlesztési Főigazgatóság)
- budapestescort.hu
- szex-partner.hu
- portal.uni-corvinus.hu (Budapesti Corvinus Egyetem)
- pt.bme.hu (Budapesti Műszaki Egyetem Polimertechnika Tanszék)
- risk-conference.uni-corvinus.hu
- sandorkaroly.hu (Sándor Károly Labdarúgó Akadémia)
- akos.hu (Kovács Ákos énekes hivatalos honlapja)
- borkaizsolt.hu (Borkai Zsolt, volt győri polgármester honlapja)
- budaclean.hu
Mivel a magyar felhasználók akár .net-es végződéssel is jegyezhetnek be oldalakat, ezek közt is szétnéztünk. Megtaláltuk például az antlantiszkiado.net, hirdetek.net,muszempilla.net, emagyar.net, ingyenapro.net, magyaronline.net címeket.
Egyes oldalak már nem aktívak, például a közélettől visszavonult Borkai Zsolté, a böngészőbe beütve láthatjuk, hogy a borkaizsolt.hu weblapot felfüggesztették. Ám az Internet Archive mentései is mutatják, hogy valóban a volt győri polgármester személyes oldaláról van szó, amiről 2007-2016 közt találhatók tartalommentések az archívumban, valamint Wikipédia oldala is ezt a címet említi.
A breachreport.com katalógusába szintén bekerültek egyes esetek, a budaclean.hu higiéniai kis- és nagykereskedés oldalának esetében olvasható, hogy adatbázisából több mint 1400 bejelentkezési azonosító került ki, és hogy ez vélhetően friss gyűjtés, ami először a cit0day-jel landolt netes fórumokon. A tárolás plain textben történt, tehát különösebb védelem nélkül.
Ákos oldalát ellenőrizve például kiderült, hogy az akos.hu-ról 2017 novemberében szivárgott ki több mint 47 ezer fiók információja, tehát egy régebbi incidensből származnak az adatok. A jelszavakat MD5-tel kódolták, ami gyenge védelemnek számít – mondta el nekünk ezzel kapcsolatban Makay József, etikus hacker. A Budapesti Metropolitan Egyetemhez tartozó metropolitan.hu címről a Breachreport katalógusa szerint szintén 2017-ben szivárogtak ki először adatok, tehát egy korábbi gyűjtésről van szó.
A Buda Clean Kft.-t és a Budapesti Metropolitan Egyetemet kerestük azzal kapcsolatban, hogy mit tudnak ezekről az esetekről, amint válaszolnak, cikkünket frissítjük.
Mit tanulhat ebből az átlagnetező?
Attól függetlenül, hogy egyes oldalak nem feltétlen érhetők már el, vagy régebbi szivárgásokból kerültek ki információk, a kiberbűnözők előszeretettel használják ki azt a felhasználói hanyagságot, hogy sokan ugyanazt az e-mail címet ugyanazzal a jelszóval használják más oldalakon is. Ha egy rosszakaró hozzájut egy ilyen kombinációhoz, más oldalakon is megpróbálkozhat belépni vele, mondjuk az áldozat Facebookjával, vagy akár PayPal fiókjával is próbálkozhat. Ezért is kell komolyan venni azt a sokat hangoztatott tanácsot, hogy sose használjuk ugyanazokat a jelszavakat.
A begyűjtött e-mail címek továbbá felhasználók adathalász-kampányokhoz is, ami szintén biztonsági kockázat a figyelmetlenebb netezőknél.
Nem lehet elégszer ismételni, hogy ha még hozzá is jutottak rosszakarók az email-jelszó párosunkhoz, a kétlépcsős azonosítás bekapcsolásával jó eséllyel megakadályozható, hogy annak birtokában bejelentkezhessenek a fiókunkba. A kétfaktoros, kétlépcsős hitelesítés lényege, hogy a felhasználó jelszaván túl egy másik azonosítót is kér a levelező (például SMS-ben, a telefonszámunkra elküldött kódot), így egy plusz rétegnyi biztonságot jelent a fiókunknak.
Ez különösen akkor jön jól, ha mondjuk ugyanazzal a jelszóval védjük az e-mail fiókunkat is, amit egy másik szolgáltatásból elloptak, így még akkor sem tudnak hozzáférni a rosszfiúk a leveleinkhez, ha megszerezték a jelszavunkat. Érdemes hát bekapcsolni a Facebookon, a Gmailben, az Instagramon, és bárhol, ahol van rá lehetőség.
