internetWiadomości promowane

„Największe włamanie w historii” czy sprytna akcja marketingowa?

Dwa dni temu New York Times podał informację o rosyjskim gangu hackerów, którzy, dokonując „największego włamania w historii”, zdobyli około 1,2 miliarda unikalnych kombinacji loginów i haseł pochodzących z ponad 420 tysięcy stron internetowych. Brzmi nieźle, ale czy rzeczywiście powinniśmy się czuć zagrożeni?

Źródłem informacji NYT był raport amerykańskiej firmy Hold Security, która po siedmiomiesięcznym śledztwie opublikowała raport stwierdzający, że doszło do „największego w historii naruszenia bezpieczeństwa”, na skutek którego rosyjskiej grupie przestępczej, ochrzczonej przez Hold Security mianem CyberVor (od rosyjskiego вор czyli złodziej), udało się zgromadzić 4,5 miliarda różnego rodzaju rekordów, z czego 1,2 miliarda to rzekomo unikalne kombinacje haseł i loginów. Możliwe. Niestety nawet jeśli założymy, że doniesienia te są w pełni prawdziwe, pojawia się kilka problemów.

Przede wszystkim 1,2 miliarda zestawów danych uwierzytelniających piechotą nie chodzi. Na świecie nie ma zbyt wielu usług, które mogą pochwalić się taką ilością użytkowników. Wśród tych, którzy mogą, znajdziemy na przykład takich gigantów jak Google, Facebook czy Microsoft. A jeśli atak dotyczyłby ich użytkowników, a wewnętrzne zespoły bezpieczeństwa tych firm przeoczyłyby go, Hold Security na pewno by się tym pochwaliło. Ale tak się nie stało. Wiemy natomiast, że dane pochodzą z ponad 420 tysięcy serwisów.

Atak na taką ilość stron internetowych też robi wrażenie, problem w tym, że grupa CyberVor nie wszystkie dane zdobyła dzięki atakowi. Według Hold Security rosyjska grupa najprawdopodobniej zaczęła od skupywania na czarnym rynku baz danych zdobytych wcześniej przez innych hackerów. Kupione bazy danych posłużyły do rozsyłania spamu i tworzenia złośliwych przekierowań, które miały zaowocować pozyskaniem nowych danych. Na początku tego roku sposób działania CyberVor uległ zmianie. Poprzez czarny rynek rosyjscy przestępcy uzyskali do botnetów, dzięki którym sprawdzali podatność witryn na ataki typu SQL Injection, które były odwiedzane przez zainfekowanych użytkowników. W wyniku tych działań CyberVor ma dziś dysponować 1,2 miliardem unikalnych kombinacji login/hasło, ale nie wiadomo jaka część tej sumy została pozyskana w wyniku ataków, a jaka została zakupiona na czarnym rynku. Ponadto „unikalność”, nie jest synonimem „aktualności” – jeśli dane były skupywane przez CyberVor na czarnym rynku, musiały tam krążyć od jakiegoś czasu. A im starsze, a co za tym idzie mniej aktualne, dane, tym są one tańsze.

Metoda przeprowadzenia ataku, czyli SQL Injection sugeruje, że jego ofiarą padły raczej mniejsze serwisy. W rękach hackerów SQL Injection jest potężnym narzędziem, ale nie jest zagrożeniem nowym, a sposoby na zabezpieczenie się przed nim są znane od lat. Co prawda autorzy raportu twierdzą, że pomimo tego nadal wiele witryn nie jest zabezpieczonych w odpowiedni sposób, a ofiarą CyberVor padli nawet klienci firm z listy Forbes 500, w samym raporcie nie pada ani jedna konkretna nazwa.

Co ciekawe, według NYT, rosyjscy cyberprzestępcy nie próbowali sprzedać zdobytych przez siebie danych, ani wykorzystać ich w żaden innowacyjny sposób. Zamiast tego wykorzystują je do rozsyłania spamu, za co inkasują opłaty od innych cyberprzestępców.

Pozostaje pytanie dlaczego Hold Security miałoby wyolbrzymiać skalę ataku? Odpowiedź nasuwa się sama, jeśli weźmie się pod uwagę, że ta sama firma, która wykryła zagrożenie, oferuje usługę, dzięki której użytkownicy mogą sprawdzić, czy ich dane nie zostały przechwycone przez CyberVor. Przez pewien czas usługa będzie darmowa dla użytkowników prywatnych, ale później pobierana już będzie opłata. Co prawda firma twierdzi, że opłata ta (120 dolarów) ma jej zrekompensować koszty śledztwa, ale nie zmienia to faktu, że im większa panika, tym więcej osób potencjalnie chciałoby skorzystać z tej usługi.

Oczywiście nie należy bagatelizować kwestii związanych z bezpieczeństwem, ale aby skutecznie się zabezpieczyć, nie można przypominać sobie o nim jedynie z okazji kolejnego „największego włamania w historii”.

Zdjęcie: Flickr/Omer van Kloeten


podobne treści