Masivní únik přihlašovacích údajů odhalil miliony uživatelů na více platformách
Výzkumník v oblasti kybernetické bezpečnosti Jeremiah Fowler odhalil významný únik přihlašovacích jmen a hesel, který zasáhl několik populárních webových stránek. Únik odhalil hesla 900 000 uživatelů iCloud v nechráněné databázi spolu s 148 miliony dalších odcizených přihlašovacích údajů, které byly tiše získány malwarem z infikovaných zařízení po celém světě.
Odhalení a podrobnosti o databázi
Fowler zveřejnil únik prostřednictvím ExpressVPN a identifikoval 149,4 milionu jedinečných přihlašovacích záznamů o celkovém objemu přibližně 96 GB dat. Tato nešifrovaná databáze bez hesel byla přístupná přes jakýkoli standardní webový prohlížeč, což činilo odcizené přihlašovací údaje zranitelnými vůči komukoli, kdo na ni narazil. Fowler poukázal na ironii, že i sami kyberzločinci často nezabezpečují odcizená data.
Rozsah úniku
- Účty iCloud: 900 000 postižených uživatelů
- Účty Gmail: přibližně 48 milionů přihlašovacích údajů
- Účty Facebook: přibližně 17 milionů přihlášení
- Účty Instagram: přibližně 6,5 milionu přihlašovacích údajů
Únik zasáhl i další platformy, včetně údajů o účtech od poskytovatelů e-mailů, sociálních sítí, finančních služeb, kryptoměnových platforem, streamovacích služeb, seznamovacích webů, akademických institucí a vládních systémů. Mezi další postižené služby patří Microsoft Outlook, Yahoo, Netflix, TikTok, OnlyFans, Binance, Roblox a různé bankovní a kreditní přihlášení.
Organizace odcizených dat
Databáze byla popsána jako „sen zločinců“ díky své šíři. Záznamy byly strukturovány pomocí obrácené notace domén, což vytvořilo indexovatelný formát podle oběti a zdroje. Hashování řádků sloužilo jako ID dokumentů k zajištění neduplicitních záznamů. Navíc byly nalezeny vládní přihlašovací údaje z více zemí, což vyvolává obavy o dopady na národní bezpečnost.
Rizika pro národní bezpečnost
Přítomnost přihlašovacích údajů zaměstnanců vlády propojených s .gov doménami zdůrazňuje rizika přesahující individuální bezpečnost. Odhalené vládní účty ohrožují osobní dokumenty, zprávy o obnově účtů a soukromé komunikace. Tento únik představuje potenciální hrozby špionáže nebo cílených útoků na vládní systémy a personál.
Jak k úniku došlo
Tradiční bezpečnostní opatření často selhávají proti metodám použitým v tomto útoku. Na rozdíl od hackování serverů zaměřeného na centralizované databáze malware typu infostealer získává přihlašovací údaje přímo z infikovaných zařízení. Tento malware sbírá data prostřednictvím keyloggingu, prohledávání prohlížeče, zachycení obsahu schránky a krádeže tokenů relace. Neexistují žádné důkazy o tom, že by velké společnosti jako Apple, Google nebo Meta byly napadeny na úrovni serverů.
Techniky malwaru typu Infostealer
- Keylogging
- Prohledávání prohlížeče
- Zachycení obsahu schránky
- Krádež tokenů relace
Operace malwaru typu infostealer upřednostňují rychlost a rozsah před bezpečností, často ukládají odcizená data na špatně nakonfigurované cloudové servery nebo databáze, které lze snadno objevit pomocí rutinního internetového skenování. Někteří útočníci zneužívají zranitelnosti OAuth k vytvoření trvalých autentizačních souborů cookie, čímž zcela obcházejí tradiční ochrany hesel.
Ochranná opatření pro uživatele
Morey Haber, hlavní bezpečnostní poradce společnosti BeyondTrust, zdůraznil, že vektory infekce malwarem typu infostealer zahrnují instalaci aplikací z neověřených zdrojů, jailbreak zařízení a zneužití zranitelností. Uživatelé se mohou chránit:
- Stahováním aplikací pouze z ověřených zdrojů, jako jsou oficiální obchody s aplikacemi
- Pravidelnou aktualizací antivirového softwaru
- Průběžnou aktualizací operačního systému
Rostoucí hrozba a zájem zločinců
Útoky malwaru typu infostealer vzrostly o 84 procent v roce 2024, podle IBM X-Force Threat Intelligence Index. Navzdory rozšířeným řešením zabezpečení koncových zařízení 66 procent infekcí malwarem nastává na zařízeních s těmito ochranami. Tyto statistiky zdůrazňují vysokou návratnost investic pro kyberzločince ve srovnání s tradičními metodami kyberzločinu.
Probíhající operace
Fowler si všiml, že počet záznamů v napadené databázi rostl, dokud nebyl dataset nakonec odstraněn z online prostředí, což naznačuje probíhající automatizovanou sběrnou operaci. Postižení uživatelé však nebyli okamžitě informováni, protože skoro měsíc trvalo, než hostingový poskytovatel reagoval na Fowlerovo hlášení. Poskytovatel nakonec databázi pozastavil, ale uvedl, že IP adresa byla spojena s nezávisle provozovanou pobočkou v Kanadě. Zpoždění v akci umožnilo kompromitaci dalších dat obětí.
Poučení pro budoucí kybernetickou bezpečnost
Bezpečnostní odborníci zdůrazňují potřebu zásadní změny v obranných strategiích. Boris Cipot, senior bezpečnostní inženýr ve společnosti Black Duck, zdůraznil, že úniky přihlašovacích údajů vytvářejí „dlouhodobý povrch útoku“, což vyžaduje, aby organizace i jednotlivci přijali vrstvená bezpečnostní opatření. Rovněž vyzval k předpokladu, že uživatelská jména a hesla jsou vždy ohrožena.
Doporučené bezpečnostní postupy
- Používání správců hesel k šifrování dat
- Aktivace vícefaktorové autentizace (MFA) u účtů
- Používání autentizace pomocí klíčů pro lepší ochranu proti phishingu a keyloggingu
- Vyhýbání se opakovanému používání hesel napříč službami
- Pravidelná změna hesel po možném kompromitování
Ačkoli správci hesel a MFA nabízejí výraznou ochranu, nejsou neprůstřelné. Malware typu infostealer může zachytit tokeny relace, obsah schránky a paměť prohlížeče, čímž obchází tyto bezpečnostní vrstvy. Alarmující je, že pouze 54 procent organizací resetuje hesla po infekcích malwarem a jen 33 procent ukončuje aktivní relace po zjištění krádeže přihlašovacích údajů. Tato nedbalost prodlužuje škody způsobené malwarem typu infostealer dlouho po počátečním útoku.
Reakce technologických gigantů
Google potvrdil povědomí o datasetu a popsal jej jako agregaci logů malwaru typu infostealer, které byly postupně shromažďovány z osobních zařízení třetími stranami. Společnost objasnila, že se nejedná o nový útok na jejich systémy. Google uvedl, že neustále monitoruje takové aktivity a používá automatické ochrany k uzamčení účtů a vynucení změny hesel, když jsou odhalené přihlašovací údaje identifikovány. Společnosti Apple a Meta se k expozici veřejně nevyjádřily.
Řešení hlavního problému
Přestože byla napadená databáze odstraněna z online prostředí, základní problém zůstává nevyřešený pro postižené uživatele. Mnoho odcizených hesel zůstává platných a používaných, což představuje trvalá rizika. Uživatelům se doporučuje změnit hesla u všech potenciálně kompromitovaných účtů, zejména pokud opakovaně používají hesla napříč platformami. Aktivace vícefaktorové autentizace a přijetí autentizace pomocí klíčů nabízí silnější obranu proti krádeži přihlašovacích údajů.
Závěr
Tento incident podtrhuje perzistentní a vyvíjející se povahu hrozeb kybernetické bezpečnosti. Kombinace přihlašovacích údajů ze sociálních sítí, finančních služeb a vládních účtů v jediné databázi zesiluje rizika pro postižené uživatele. Organizace i jednotlivci musí přijmout robustní bezpečnostní postupy, předpokládat, že přihlašovací údaje jsou vždy ohroženy, a implementovat vrstvenou obranu k minimalizaci dopadů budoucích úniků.