maanantai 9. toukokuuta 2016

Tietoturva: Venäläinen myi yli 1,17 miljardin tunnuksen tietokantaa alle eurolla

Tietoturva: Venäläinen myi yli 1,17 miljardin tunnuksen tietokantaa alle eurollaTietoturvayhtiö törmäsi verkon alamaailman osta/myy -palvelussa pyörineeseen varsin huolestuttavalta ja epätodelliselta kuulostavaan myynti-ilmoitukseen. “Osta 1,17 miljardin käyttäjätunnuksen ja salasanan tietokanta”.

Käyttäjätietokantojen myynti ei ole mitään uutta mutta se että yhdellä kertaa tarjolla on yli 1,17 miljardin tietokanta on varsin erikoista.

Oli varsin selvää että 1,17 miljardia käyttäjätunnusta omaava tietokanta pitää sisällään huomattavan määrän vanhentuneita tietoja sekä duplikaatteja, eli tunnuksia jotka ovat samoja mutta kaapattu eri aikoina.

Kyse ei myöskään ollut yhden palvelun käyttäjätietokannoista vaan laaja kokoelma, verkon eri palveluista napatuista tiedoista.

Hold Security tietoturvayhtiön työntekijät huomasivat niin sanotussa dark webissä tietokannan myynti-ilmoituksen ja innostuivat tutkimaan asiaa hieman enemmän, 1,17 miljardia käyttäjätunnusta salasoineen kun kuulostaa varsin huolestuttavalta löydöltä.

Asiantuntijat ottivat myyjään yhteyttä ja tutustuivat häneen, selvisi että myyjä on Venäläisen pienen kaupungin asukas ja haluaa saada “alalla” mainetta.

Myyjä ilmoitti haluavansa paketista eroon mutta ei olisi ollut valmis tekemään sitä ilmaiseksi:

Selvisi että myyjä on valmis luopumaan koko tietokannasta alle euron hintaan, tämä lisäsi epäilyksiä tietokannan aitoudesta mutta asiantuntijat kuitenkin halusivat jatkaa keskustelua venäläisen kanssa.

Hold Security halusi tietokannan mutta ei ollut valmis maksamaan siitä, joten nyt asiantuntijoiden piti keksiä kuinka he pääsisivät tietokantaan ilman rahanvaihtoa, hetken tuumailun ja junnailun jälkeen myyjä itse ehdotti että antaa tietokannan mikäli neuvottelijana toiminut suostuu tykkäämään myyjän sosiaalisen median palvelutileillä olevista ja tulevista päivityksistä.

Ehdotus kuulosti epäilyttävältä ja hölmöltä mutta jos tällä keinoin Hold Security saa tietokannan niin mikä jottei, diili tehtiin ja myyjä antoi asiantuntijoille pääsyn tietokantaan, tietokanta oli kooltaan noin 10 gigaa, sekin pakattuna joten mistään pienestä paketista ei ollut kyse.

Tietokannan kimppuun:

Hold Security huomasi hyvin pian että suurin osa paketissa olleista käyttäjätileistä olivat duplikaatteja. Ensimmäisen siivouksen jälkeen tietokantaan jäi kuitenkin 272 miljoonaa tunnusta, tämän jälkeen näitä tunnuksia verrattiin aikaisempiin tietovuotoihin ja lopulta listalle jäi 42,5 miljoonaa tunnusta jotka olivat niin sanotusti tuoreita tapauksia.

Lopulta siis 1,17 miljoonasta käyttäjätilistä valideiksi jäi vain 42,5 miljoonaa, näitä ei siis oltu aikaisemmin kaupiteltu mutta saattavat olla silti jo vanhentunutta tietoa nekin.

Kuka vei ja miten?

Vielä on epäselvää mistä nämä 42,5 miljoonaa käyttäjätunnusta on tarkalleen ottaen viety, mukana on kuitenkin myös sellaisten palveluiden ja yrityksien käyttäjätunnuksia kuin Google, Mail.ru sekä Microsoft.

Yhtiöistä Microsoft sekä Mail.ru ovat antaneet omat lausuntonsa asiasta, Mail.ru ilmoittaa ettei tietokannassa olevat käyttäjätunnukset vastaa palvelussa nykyisin olemassa olevien kanssa. Microsoft taas ilmoittaa että varastetut verkkotunnukset ovat ongelma jolle ei suoranaisesti voi mitään mutta samalla se ilmoittaa että heillä on työkalut joiden avulla tilien kaappausta vastaan voidaan taistella.

Kuinka suojata oma tili kaappaukselta:

Paras keino suojautua omien tilien kaappauksilta on käyttää eri salasanoja eri palveluiden kanssa sekä ottamaan käyttöön kaksivaiheisen salasanan mikäli sellainen on kyseisesä palvelussa käytössä.

LÄHDE: Hold Security