Η ομάδα του Cybernews εντόπισε τεράστιους όγκους εκτεθειμένων δεδομένων που περιλαμβάνουν δισεκατομμύρια κωδικούς πρόσβασης. Κοινωνικά δίκτυα, εταιρικά εργαλεία, VPN, πλατφόρμες για developers—τίποτα δεν φαίνεται να έχει μείνει έξω.
Από τις αρχές του έτους, η ομάδα παρακολουθεί στενά τι κυκλοφορεί στο διαδίκτυο. Μέχρι στιγμής έχουν εντοπιστεί 30 διαφορετικά σύνολα δεδομένων, καθένα από τα οποία περιέχει από δεκάδες εκατομμύρια έως περισσότερα από 3,5 δισεκατομμύρια εγγραφές. Συνολικά, ανακαλύφθηκαν 16 δισεκατομμύρια διαπιστευτήρια.
«Αυτό δεν είναι απλώς διαρροή – είναι σχέδιο μαζικής εκμετάλλευσης»
Όπως δήλωσαν οι ερευνητές: «Με πάνω από 16 δισεκατομμύρια εγγραφές σύνδεσης εκτεθειμένες, οι κυβερνοεγκληματίες έχουν πλέον πρωτοφανή πρόσβαση σε προσωπικά διαπιστευτήρια… Αυτό δεν είναι απλώς διαρροή – είναι σχέδιο μαζικής εκμετάλλευσης». Οι βάσεις δεδομένων περιείχαν login για Apple, Facebook, Google, GitHub, Telegram και ακόμη και κρατικές πλατφόρμες.
Πώς διέρρευσαν τα δεδομένα
Η πλειοψηφία των δεδομένων προέρχεται από infostealer malware, credential stuffing, και παλαιότερες διαρροές. Αν και υπάρχει επικάλυψη, οι περισσότερες εγγραφές ακολουθούσαν την ίδια δομή: URL → όνομα χρήστη → κωδικός πρόσβασης.
Οι πιο σύγχρονοι infostealers συλλέγουν δεδομένα με αυτόν τον τρόπο. Το πρόβλημα εντείνεται από την παρουσία token, cookies και μεταδεδομένων, που μπορούν να παρακάμψουν ακόμη και τη διπλή ταυτοποίηση (2FA).
Ειδικά δείγματα και ονόματα αρχείων
Κάποια σύνολα δεδομένων έφεραν ονόματα όπως «logins» ή «credentials», ενώ άλλα αποκάλυπταν την προέλευσή τους, όπως μια βάση από τη Ρωσία με πάνω από 455 εκατομμύρια εγγραφές και μία για το Telegram με πάνω από 60 εκατομμύρια εγγραφές.
Η μεγαλύτερη βάση δεδομένων περιείχε πάνω από 3,5 δισεκατομμύρια εγγραφές, πιθανόν από χρήστες που μιλούν πορτογαλικά.
Ποιος βρίσκεται πίσω από τη διαρροή;
Κανείς δε γνωρίζει με βεβαιότητα. Μπορεί να είναι ερευνητές ασφάλειας, αλλά είναι σχεδόν βέβαιο ότι κάποια δεδομένα προέρχονται από κυβερνοεγκληματίες. Οι χάκερ προτιμούν να έχουν μαζικές βάσεις δεδομένων, διότι αυξάνουν τις πιθανότητες επιτυχίας στις επιθέσεις τους.
Πώς μπορείτε να προστατευτείτε
Σύμφωνα με τον ερευνητή Άρας Ναζάροβας:
«Ορισμένα από τα εκτεθειμένα σύνολα δεδομένων περιλαμβάνουν cookies και session tokens. Αυτά μπορούν να χρησιμοποιηθούν για να παρακαμφθεί το 2FA και δεν επαναφέρονται πάντα όταν αλλάζει ο κωδικός πρόσβασης. Η καλύτερη τακτική είναι να αλλάξετε τους κωδικούς σας, να ενεργοποιήσετε το 2FA, να παρακολουθείτε στενά τους λογαριασμούς σας και να επικοινωνήσετε με την υποστήριξη αν εντοπίσετε ύποπτη δραστηριότητα.»
Έχουν διαρρεύσει κωδικοί για Facebook, Google και Apple;
Δεν υπήρξε κεντρική διαρροή από αυτές τις εταιρείες, διευκρίνισε ο Μπομπ Ντιατσένκο. Ωστόσο, τα credentials που εντοπίστηκαν περιλαμβάνουν login URLs για Apple, Facebook και Google, γεγονός που σημαίνει ότι μπορεί να υπάρχουν εξατομικευμένες διαρροές χρηστών αυτών των υπηρεσιών.
Η νέα τάση στη μαύρη αγορά του dark web
Κατά τον Ναζάροβας, αυτή η τεράστια διαρροή υποδεικνύει ότι οι εγκληματίες εγκαταλείπουν μεθόδους όπως οι ομάδες στο Telegram, και επιστρέφουν σε πιο κεντροποιημένες βάσεις δεδομένων, ενισχύοντας την οργανωμένη εμπορία κλεμμένων διαπιστευτηρίων.
Αυτή η μαζική διαρροή αποτελεί καμπανάκι κινδύνου για όλους. Η χρήση ενός password manager, η τακτική αλλαγή κωδικών και η ενεργοποίηση του 2FA είναι πλέον απαραίτητα μέτρα για την προστασία των προσωπικών σας δεδομένων.