4.8.2016 13:09 | Správy

Doplnené Vyše miliarda hesiel na predaj. Hackeri rozpredávajú rozsiahle databázy

Ilustračná snímka (zdroj: Shutterstock.com)
Ilustračná snímka (zdroj: Shutterstock.com) Zdroj: Shutterstock.com

Internetom rezonujú úniky používateľských dát z významných služieb. Prinášame vám ich prehľad.

Článok je priebežne dopĺňaný o nové skutočnosti

Ilustračná snímka (zdroj: Shutterstock.com)
Ilustračná snímka (zdroj: Shutterstock.com) Zdroj: Shutterstock.com
Počítačoví útočníci rozpredávajú svoju „zbierku“ ukradnutých databáz z populárnych internetových služieb. Redakcia živé.sk sa preto rozhodla, že na tomto mieste nájdete vždy aktualizovaný zoznam obsahujúci všetky databázy, ktoré doposiaľ predával neslávne známy hacker s prezývkou „peace_of_mind“.

V šedej zóne internetu sa v posledných mesiacoch objavili rôzne ponuky na predaj, ktoré celkovo obsahujú už viac ako jednu miliardu záznamov. Spravidla ide o prihlasovacie mená a heslá. Niektoré heslá sú riadne zašifrované, iné majú tvar čistého textu. Medzi dátami sa však nachádzajú aj intímnejšie detaily.

Ak je na zozname služba, ktorú používate, radšej si zmeňte heslo aj prípadné bezpečnostné odpovede či ďalšie prihlasovacie údaje.

Článok bol naposledy aktualizovaný 3.9.2016 o databázu zo služby Last.fm, ktorá obsahuje údaje o 43 miliónoch používateľov.

Kliknite si na službu, ktorej informácie vás zaujímajú:

 

LinkedIn prvý v poradí

Masívna distribúcia uniknutých zoznamov odštartovala koncom mája, keď hacker s prezývkou „Peace“ spustil predaj prihlasovacích údajov zo sociálnej siete LinkedIn. Pripomeňme, že databáza so 167 miliónmi záznamov sa v súčasnosti dá kúpiť za 2 Bitcoiny (približne 1 371 eur).

Heslá boli uložené prostredníctvom hašovacej funkcie SHA-1, bez akejkoľvek doplnkovej ochrany. Súčasťou predávaného balíka je preto aj 117 miliónov už dešifrovaných používateľských hesiel. V prvej trojke najčastejších hesiel sa nachádzajú „123456“, „linkedin“ a „password“.

Rebríček 49 najfrekventovanejších hesiel sa nachádza na tejto stránke. Únik je podľa odhadov datovaný do roku 2012.

Ponuka na predaj databázy z LinkedIn (zdroj: fotogaléria / 9
Ponuka na predaj databázy z LinkedIn (zdroj: troyhunt.com) Zdroj: troyhunt.com

Lacná databáza z Tumblr

Sociálna sieť Tumblr začiatkom mája informovala, že sa nedávno dozvedela o rozsiahlom úniku prihlasovacích údajov. Podľa expertov k útoku došlo v roku 2013. Tretia strana údajne získala prístup k e-mailovým adresám a zašifrovaným heslám. Spoločnosť však odmietla konkretizovať koľkých používateľov sa incident týka.

Nepriamu odpoveď poskytla ponuka na predaj databázy zo služby Tumblr. Za 0,4255 Bitcoinu (asi 290 eur) kupujúci získa zoznam 65 469 298 e-mailových adries a zašifrovaných hesiel.

Nízku cenu spôsobuje relatívne silné šifrovanie hesiel. Uložené sú vo forme hašovacej funkcie SHA-1 s pridaním náhodných dát – ochrana takzvaným solením (Salt). Ich okamžité prelomenie je preto vylúčené. Hacker preto databázu predáva „iba“ ako zoznam kontaktných údajov.

Ponuka na predaj databázy z Tumblr (zdroj: fotogaléria / 9
Ponuka na predaj databázy z Tumblr (zdroj: troyhunt.com) Zdroj: troyhunt.com

Fling prezradí pikantnosti

Kybernetický zločinec ďalej predáva aj uniknutú databázu zo zoznamky pre dospelých Fling.com. Za asi 0,39 Bitcoinu (zhruba 267 eur) je k dispozícii 40 767 652 citlivých informácií o používateľoch. Únik v tomto prípade prebehol v roku 2011.

V databáze sa nachádzajú skutočne chúlostivé údaje Okrem prihlasovacích mien, hesiel v tvare čistého textu v nej nájdeme IP adresy, dátumy narodenia ale aj typ hľadaného vzťahu či intímne záujmy (fetiš, skupinový sex a podobne). Podrobná analýza dát však nie je momentálne k dispozícií.

Ponuka na predaj databázy z Fling (zdroj: fotogaléria / 9
Ponuka na predaj databázy z Fling (zdroj: redakcia) Zdroj: redakcia

Najvyššiu cenu má MySpace

K dispozícii je tiež databáza kedysi veľmi populárnej sociálnej siete MySpace, ktorá pravdepodobne pochádza z hackerského útoku z 11. júna 2013.

Za 6 Bitcoinov (okolo 4 114 eur) záujemca získa viac ako 400 miliónov hesiel, zoznam používateľských mien ako aj primárne i voliteľné sekundárne heslá. Uložené sú vo forme hašovacej funkcie SHA-1 bez akejkoľvek doplnkovej ochrany.

Ponuka na predaj databázy z MySpace (zdroj: fotogaléria / 9
Ponuka na predaj databázy z MySpace (zdroj: troyhunt.com) Zdroj: troyhunt.com

Všetky heslá už boli dešifrované. V prvej trojke dominujú „homelesspa“, „password1“ a „abc123“. Celý rebríček 55 najpopulárnejších hesiel nájdete na tomto odkaze.

Obeťou aj ruská sieť

Problémy neobišli ani ruské služby. Hackeri ponúkli na predaj databázu z najpopulárnejšej sociálnej siete v Rusku – VKontakte, ktorú podľa expertov získali na prelome rokov 2012 a 2013.

Za 1 Bitcoin (odhadom 685 eur) obsahuje 17 gigabajtový archív s informáciami o 100 544 934 používateľoch. Medzi údajmi nájdeme mená a priezviská, mestá, z ktorých ľudia pochádzajú, telefónne čísla, primárne, v niektorých prípadoch aj sekundárne e-mailové adresy a heslá v tvare čistého textu.

V zozname 55 najpoužívanejších hesiel figurujú príliš jednoduché reťazce. Tri najčastejšie sú „123456“, „123456789“ a „qwerty“.

Ponuka na predaj databázy z VKontakte (zdroj: fotogaléria / 9
Ponuka na predaj databázy z VKontakte (zdroj: redakcia) Zdroj: redakcia

Heslá z Twitteru kradol asi vírus

Trochu záhadou zostáva pôvod a obdobie vzniku súboru prihlasovacích údajov zo sociálnej siete Twitter. Žiadny útok na servery spoločnosť v posledných rokoch nezaznamenala. Navyše, heslá sú vo forme čistého textu a Twitter pritom využíva hašovaciu funkciu bcrypt.

Ilustračný obrázok (zdroj: shutterstock.com)
Ilustračný obrázok (zdroj: shutterstock.com) Zdroj: Shutterstock
Vzhľadom na uvedené indície a výraznú prevahu e-mailových domén z jednej krajiny sa experti domnievajú, že únik má na svedomí škodlivý kód, ktorý tajne špehoval používateľov.

Databáza má cenu až 10 Bitcoinov (asi 6 850 eur) a disponuje 33 miliónmi hesiel. Niektoré zdroje hovoria aj o druhom archíve, v ktorom je ďalších 71 miliónov prístupových údajov. Medzi nimi sa nachádzajú e-mailové adresy, mená používateľov a nezašifrované heslá.

Na základe analýzy bol zostavený rebríček 44 najpopulárnejších hesiel. V prvej trojke nájdeme „123456“, „123456789“ a „qwerty“.

Neodolala ani P2P služba iMesh

Služba iMesh na zdieľanie súborov sa už od svojho vzniku v roku 1999 topila v problémoch. Najprv musela zaplatiť štvormiliónovú pokutu a transformovať sa na legálnu službu. Neskôr, v roku 2013 sa stala terčom útokov hackerov, z ktorých pochádzajú aj predávané dáta. Spoločnosť dokonca tento rok ukončila svoju činnosť.

Za 0,5 Bitcoinu (cirka 342 eur) je v ponuke databáza s vyše 51,3 milióna záznamami. Súčasťou sú prihlasovacie mená, e-mailové adresy, zašifrované heslá, IP adresy a čas, dátum aj miesto, z ktorého sa používatelia prihlasovali.

Heslá boli opäť chránené iba hašovacou funkciou MD5 s doplnkovou ochranou „Salt“. Dá sa preto očakávať, že za krátky čas boli úspešne dešifrované. Dominujú „123456“, „123456789“ a „1234“. Celý rebríček 55 najpopulárnejších hesiel sa nachádza na tomto webe.

Za zmienku stojí aj analýza krajín, z ktorých sa pripájalo najviac používateľov k službe. Na prvé tri miesta sa dostali Spojené štáty, Turecko a Veľká Británia. Na liste nechýba ani Slovensko, umiestnilo sa na 40. priečke.

Ponuka na predaj databázy z iMesh (zdroj: fotogaléria / 9
Ponuka na predaj databázy z iMesh (zdroj: redakcia) Zdroj: redakcia

Databáza z Badoo prezradí aj vekový priemer

Prednedávnom bola na predaj ponúknutá zmes citlivých informácií zo zoznamky Badoo. Čas vzniku databázy nie je známy.

Obsahuje 127 343 437 položiek, medzi ktorými sú e-mailové adresy, prihlasovacie mená, zašifrované heslá, pohlavia, mená a priezviská, dátumy narodenia a ďalšie neznáme číselné hodnoty. Cena archívu je 1 Bitcoin (približne 685 eur).

Heslá boli síce zašifrované, no opäť prostredníctvom zastaranej funkcie MD5 a navyše bez doplnkovej ochrany. Odborníci zostavili rebríček 55 najčastejšie používaných hesiel. Prvá trojka neprekvapila –„123456“, „123456789“ a „12345“.

K dispozícii sú však aj zaujímavejšie údaje. Napríklad vyšlo najavo, že v službe je registrovaných 57,18 percent mužov, 41,19 percent žien a zvyšných 1,63 percent nemalo vyplnené žiadne pohlavie.

Najviac mužov je vo veku 28 až 33 rokov, u žien je to 23 až 28 rokov. Kompletné štatistiky sa dajú pozrieť tu.

Ponuka na predaj databázy z Badoo (zdroj: fotogaléria / 9
Ponuka na predaj databázy z Badoo (zdroj: redakcia) Zdroj: redakcia

Heslá z Yahoo sú slabo chránené

Ďalšia uniknutá databáza pochádza zo služby Yahoo. Predáva sa za 3 bitcoiny (po prepočte 1 611 eur), pričom obsahuje 200 miliónov záznamov. Medzi uniknutými údajmi nájdeme prihlasovacie meno (e-mailová adresa), záložnú e-mailovú adresu či dátum narodenia.

Ponuka na predaj databázy z Yahoo (zdroj: Ján fotogaléria / 9
Ponuka na predaj databázy z Yahoo (zdroj: Ján Koliba) Zdroj: Ján Koliba

Heslá sú zašifrované prostredníctvom algoritmu MD5, ktorý je v súčasnosti považovaný za nevyhovujúcu kryptografickú funkciu. Ako je zrejmé, heslá môžu byť veľmi ľahko odhalené, napríklad aj prostredníctvom špecializovaných on-line nástrojov.

Podľa informácii z inzerátu by databáza mala pochádzať z roku 2012. Spoločnosť Yahoo sa pre server Motherboard vyjadrila, že o databáze už vie, pričom aktuálne prebieha interné vyšetrovanie. Pravosť údajov však nepotvrdila ani nevyvrátila.

Príčinou hacknutia Dropboxu bolo rovnaké heslo

Jeden zo zamestnancov Dropboxu zanedbal základné bezpečnostné opatrenia. Využíval totiž rovnaké prístupové údaje do sociálnej siete LinkedIn, ako aj do podnikovej siete. Fatálna chyba napokon vyústila až k úniku informácií o 68 miliónoch používateľoch služby.

Prístupové údaje sa v súčasnosti predávajú za 2 bitcoiny (po prepočte 1031 eur), pričom obsahujú e-mailové adresy a zašifrované heslá.

Ponuka na predaj databázy zo služby Dropbox fotogaléria / 9
Ponuka na predaj databázy zo služby Dropbox (zdroj: Ján Koliba) Zdroj: Ján Koliba

Útok sa odohral v čase, kedy spoločnosť menila typ šifrovania. Preto 36 miliónov uniknutých hesiel využíva algoritmus SHA-1 s doplnkovou ochranou Salt a náhodným dátovým reťazcom. Druhá skupina obsahujúca približne 32 miliónov záznamov je chránená silným šifrovaním bcrypt. Vzhľadom na relatívne silné algoritmy šifrovania by mali byť heslá momentálne v bezpečí.

Databáza je podľa expertov datovaná do roku 2012.

Heslá z Last.fm boli prelomené do 2 hodín

Last.fm
Last.fm Zdroj: Last.fm
Zatiaľ posledná databáza pochádza z hudobnej služby Last.fm. V súčasnosti nie je známe, kto ju predáva, ani za akú cenu.

Uniknutý súbor obsahuje 43 miliónov záznamov, medzi ktorými sa nachádza meno používateľa, e-mailová adresa, zašifrované heslo, dátum registrácie a niekoľko interných dát.

Heslá boli síce zašifrované, no opäť prostredníctvom zastaranej funkcie MD5 a bez doplnkovej ochrany. Expertom sa preto podarilo za dve hodiny dešifrovať viac ako 96 percent z nich. V rebríčku 50 najpopulárnejších hesiel figurujú ako obvykle jednoduché reťazce „123456“, „password“ a „lastfm“.

Podľa výsledkov vyšetrovania bola služba Last.fm hacknutá 22. marca 2012.

Nedajte útočníkom šancu

Hackerské útoky tu vždy boli a žiaľ aj budú. Nezáleží pritom, či ide o neznámu alebo masovo rozšírenú službu. Ak používatelia zanedbajú vlastnú bezpečnosť, konto môžu ľahko ovládnuť tretie osoby.

Pre každú platformu by ste mali v ideálnom prípade používať samostatné heslo, ktoré si v pravidelných intervaloch zmeníte. K tomu ak je to možné, aktivujte si a využívajte dvojfaktorovú autorizáciu. Ak útočník aj zistí prihlasovacie údaje, bez doplnkového overovacieho kódu zaslaného napríklad na mobil sa ďaleko nedostane.

Nemenej dôležitým opatrením je nainštalovaný a riadne aktualizovaný antivírus. Stačí totiž, že do počítača prekĺzne takzvaný keylogger. Ide o špeciálny softvér, ktorý dokáže zachytiť všetky zadané znaky na klávesnici, respektíve pohyby myšou. Obeti tak nepomôže ani zmena hesla vykonaná každú hodinu.

Overiť, či sa aj vaše citlivé informácie nenachádzajú v niektorej z mnohých uniknutých databáz, môžete bezplatne na stránke projektu LeakedSource. Vyhľadávanie funguje podľa e-mailovej adresy, mena a priezviska, prihlasovacieho mena, IP adresy i telefónneho čísla.

Otázkou už iba zostáva, ktorá z populárnych služieb bude ďalšou v poradí. Už teraz je celkovo na predaj viac ako miliarda prihlasovacích údajov. Pre ilustráciu, počet obyvateľov Zeme je 7,125 miliardy.

(1 BTC = 685 EUR)

Diskusia 20 Príspevkov