Minden eddiginél nagyobb adatlopás rázta meg a világot

Világszerte kiszivárgott több mint 16 milliárd ellopott jelszó az internet történetének egyik legnagyobb adatlopásában.

A digitális világ fekete napja

Több mint 16 milliárd ellopott jelszó került napvilágra egy eddig ismeretlen adatlopás nyomán, ami példátlan méreteivel megrázta az egész technológiai ipart. A kompromittált belépési adatok olyan platformokat érintenek, mint a Google, Facebook, Telegram és GitHub, de számos vállalati, fejlesztői és kormányzati oldal is szerepel a listán.

Az esetet a Cybernews jelentette először, és rögtön felhívták a figyelmet: nem egyszerű adatlopásról van szó, hanem egy olyan részletes adatgyűjteményről, amely tömeges visszaélésekre ad lehetőséget. A támadás forrásai között megtalálhatóak különféle „infostealer” rosszindulatú programok naplói, hitelesítési adatokat tartalmazó adatbázisok, valamint korábban már kiszivárgott, újracsomagolt adatok.

Több milliárd belépési adat – szabad prédára várva

A kutatók szerint 30 különböző adathalmaz került felszínre, ezek mindegyike tízmilliós nagyságrendű rekordot tartalmaz, a legnagyobb több mint 3,5 milliárd adatot foglal magában. Az átlagos adatállomány körülbelül 550 millió bejegyzést tartalmazott.

De milyen adatállományok kerültek napvilágra pontosan?

A szakértők által feltárt fájlok nagyon különbözőek voltak. A legkisebb adathalmaz – amelyet egy rosszindulatú szoftverről neveztek el – több mint 16 millió rekordot tartalmazott. A legnagyobb pedig, amely valószínűleg a portugál nyelvű felhasználókhoz köthető, több mint 3,5 milliárd bejegyzést rejtett.

Néhány adatállomány általános nevet kapott, mint például „logins” vagy „credentials”, így a kutatók nem tudták pontosan meghatározni azok eredetét. Más fájlnevek viszont utaltak azokra a szolgáltatásokra, amelyekhez kapcsolódhattak.

Például egy 455 millió rekordot tartalmazó adatállomány neve az oroszországi eredetre utalt, míg egy másik, több mint 60 millió bejegyzéssel, a Telegram üzenetküldő platformhoz kapcsolódott.

A régi és friss infostealer-naplók együttes jelenléte – gyakran tokenekkel, sütikkel és metaadatokkal együtt – rendkívül veszélyessé teszi ezeket az adatokat azon szervezetek számára, amelyek nem alkalmaznak többfaktoros hitelesítést vagy nem gondoskodnak a hitelesítő adatok rendszeres frissítéséről – figyelmeztettek a szakértők.

Bár a fájlnevek nem mindig utalnak pontosan az adatok eredetére, sok információ felhőalapú szolgáltatásokhoz, üzleti rendszerekhez és zárolt fájlokhoz köthető. Egyes elnevezések malware típusokra utalnak, amelyekkel az adatokat begyűjthették.

Mi is az az infostealer?

Az infostealer (vagyis információ-lopó) egy olyan kártékony szoftver, amely titokban gyűjti össze a felhasználók érzékeny adatait – például jelszavakat, pénzügyi adatokat és böngészési előzményeket – és azokat továbbítja a támadóknak.

A keyloggerekkel ellentétben ezek az eszközök nemcsak a billentyűleütéseket rögzítik, hanem képesek átkutatni a rendszert mentett jelszavak, sütik (cookie-k), automatikusan kitöltött adatok és más értékes információk után.

A Cybernews szakértői szerint a feltört adatokat nyílt felhőalapú tárhelyeken keresztül szivárogtatták ki, amelyeket ugyan gyorsan eltávolítottak, de a rövid hozzáférési idő is elég volt ahhoz, hogy az információk terjedni kezdjenek.

De ki áll mögötte?

Továbbra sem világos, hogy kihez köthetők a kiszivárgott fájlok. Lehet, hogy biztonsági kutatók gyűjtötték őket elemzési célból, de szinte biztos, hogy egy részük kiberbűnözők tulajdonában volt.

A bűnözők imádják az ilyen hatalmas adatgyűjteményeket, mert lehetővé teszik számukra, hogy széles körű támadásokat indítsanak – például személyazonosság-lopást, adathalász kampányokat vagy jogosulatlan fiókhozzáféréseket.

Már egyetlen százalék alatti sikerességi arány is több millió áldozathoz vezethet, akik megtéveszthetők pénzügyi vagy más érzékeny adataik megadására.

A legaggasztóbb azonban az, hogy mivel nem tudni, pontosan kihez tartoznak az adathalmazok, a felhasználók szinte tehetetlenek a megelőzés terén.

Coinbase zsarolás: 20 millió dolláros Bitcoin váltságdíjat követeltek

A technológiai világ egy másik súlyos incidenssel is szembesült: a Coinbase májusban jelentette be, hogy decemberben történt biztonsági rés több mint 69 000 ügyfelet érintett. A támadók 20 millió dollár értékű Bitcoin váltságdíjat követeltek, de a kriptotőzsde nem engedett.

„Megpróbálták megzsarolni a Coinbase-t 20 millió dollárral, hogy eltussolják az ügyet. Mi nemet mondtunk.” – áll a cég nyilatkozatában.

Ehelyett 20 millió dolláros nyomravezetői díjat ajánlottak fel a támadók kézre kerítésére.

Egyéni felhasználók és kisebb oldalak a legnagyobb veszélyben

Szakértők szerint az ilyen adatszivárgások súlyos kockázatot jelentenek, különösen azok számára, akik nem alkalmaznak többlépcsős hitelesítést (2FA) vagy rendszeres jelszófrissítést.

Nem minden oldal kényszeríti ki a jelszócserét, amikor adatlopás történik, – mondta egy neve elhallgatását kérő biztonsági szakértő - sokan ugyanazokat a jelszavakat használják több helyen, vagy csak kis mértékben módosítják őket, így könnyen célponttá válnak.

Az aktuális adatszivárgás különösen azokat az egyéni felhasználókat és kisebb weboldalakat veszélyezteti, akiknek nincs komoly védelmi infrastruktúrájuk.

Meg lehetett volna előzni?

Bár a támadás mérete ijesztő, a mögötte álló módszerek nem újak vagy különösen kifinomultak. Azok a felhasználók, akik biztonságtudatosak, és olyan megoldásokat alkalmaznak, mint kétlépcsős azonosítás, jelszókezelők, vagy a legmodernebb passkey technológia, jelentősen csökkenthetik a kockázatot.

A hétköznapi felhasználók fogják ezt leginkább megszenvedni, akiknek van kétfaktoros hitelesítése, azok biztonságban vannak.

Facebook, Google, Apple – vajon tényleg feltörték őket?

Sokan kérdezik: kiszivárogtak a Google, Facebook vagy Apple jelszavai? A válasz bonyolultabb, mint hinnénk.

A 16 milliárd jelszót tartalmazó adatbázis elméletileg két kiszivárgott fiókot jelent minden egyes emberre a Földön. Bár a pontos duplikációk száma nem ismert – hiszen több különálló adatbázisból áll a szivárgás –, a média egy része félrevezető módon azt sugallja, hogy ezek a techóriások közvetlenül is érintettek.

„Egyik cégnél sem történt központi adatlopás” – szögezte le Bob Diachenko, egy ismert kiberbiztonsági kutató, amikor rákérdeztek, hogy valóban a Facebook, Google vagy Apple rendszeréből származnak-e a fájlok.

Ez azonban nem jelenti azt, hogy a hozzájuk tartozó fiókadatok ne szivárogtak volna ki máshonnan.

„Az infostealer-naplókban látott bejegyzések tartalmaztak bejelentkezési URL-eket az Apple, Facebook és Google oldalaira” – mondta Diachenko.

A Cybernews csapata népszerű kérésre képernyőképeket is megosztott bizonyítékként, amelyek egyértelműen mutatják: az adathalmazok tartalmaznak linkeket a Facebook, Google, GitHub, Zoom, Twitch és más szolgáltatások bejelentkezési felületeihez.

Passkey: A jelszavak utáni korszak hajnala

A passkey technológia új fejezetet nyithat az online biztonságban. Ez a megoldás teljesen kiváltja a hagyományos jelszavakat, és titkosított kulcsokat használ, amelyek a felhasználó eszközén tárolódnak. Fontos tulajdonságuk, hogy csak az adott szolgáltatáshoz működnek, amelyre létre lettek hozva.

A passkey-k ellenállóbbak az adathalászat ellen, és már olyan óriások is alkalmazzák, mint a Google, Amazon, Apple és Microsoft.

Az első és legfontosabb lépés: ellenőrizd, hogy az általad használt oldalak kínálnak-e kétlépcsős azonosítást. Használj jelszókezelőt, ne alkalmazz újrahasznosított jelszavakat, és ha teheted, térj át passkey használatára.