Μία τεράστια μη κρυπτογραφημένη βάση δεδομένων που περιείχε διευθύνσεις email και passwords, καθώς και μερικά στοιχεία πιστωτικών καρτών, βρέθηκε σε δωρεάν hosting υπηρεσία. Ο διαχειριστής της υπηρεσίας έστειλε ένα αντίγραφο της βάσης στον Troy Hunt, έναν ερευνητή ασφαλείας και δημιουργό του Have I been pwned, ώστε να την συγκρίνει με τα υπάρχοντα στοιχεία και να διαπιστωθεί εάν επρόκειτο για νέα παραβίαση δεδομένων. Πιστεύεται ότι προορίζεται για Credential stuffing επίθεση.
Ο ερευνητής Troy, κρίνοντας από την διαμόρφωση του αρχείου πιστεύει ότι πρόκειται για μια λίστα στην οποία έχουν συγκεντρωθεί διευθύνσεις από προηγούμενες παραβιάσεις. Ο πιο πιθανός λόγος που δημιουργήθηκε η βάση πιστεύεται ότι είναι το credential stuffing.
Το credential stuffing είναι ένας τύπος επίθεσης, όπου στοιχεία σύνδεσης (συνήθως usernames και Passwords) από προηγούμενες παραβιάσεις, δοκιμάζονται από αυτοματοποιημένα προγράμματα, έναντι διαφορετικών υπηρεσιών. Για παράδειγμα, δοκιμάζοντας την βάση δεδομένων που διέρρευσε το 2016 από το Dailymotion στην google, είναι credential stuffing. Καθώς πολλοί είναι οι χρήστες που χρησιμοποιούν τον ίδιο συνδυασμό email και password σε παραπάνω από έναν online λογαριασμό, μέσω credential stuffing παραβιάζονται πολλοί λογαριασμοί.
Ο Troy, μέσω μιας δικιάς του χθεσινής δημοσίευσης δήλωσε ότι ανέλυσε την βάση και κατέληξε στο συμπέρασμα ότι το 93% των διευθύνσεων υπήρχαν ήδη στην βάση του Have I been pwnd. Ωστόσο, το υπόλοιπο 7% που δεν υπήρχε, αντιστοιχεί σε περισσοτέρους από 2.5 εκατομμύρια συνδυασμούς χρηστών.
Επίσης μετά από προσπάθεια του Troy να καταλάβει από που προέρχεται αυτή η βάση, δεν κατέληξε σε κάποιο συμπέρασμα, καθώς δεν υπάρχει κάποιο συγκεκριμένο pattern. Οι διευθύνσεις φαίνεται να έχουν συνταχθεί με τυχαία σειρά.
Οι κυβερνοεγκληματίες ανταλλάσσουν βάσεις δεδομένων με login credentials σε καθημερινή βάση. Έτσι όταν διαρρεύσει ένας συνδυασμός που χρησιμοποιείται, υπάρχει πιθανότητα να βρεθεί σε πολλά διαφορετικά χέρια. Για αυτόν τον λόγο συνιστάται η χρήση μεγάλων και περίπλοκων κωδίκων πρόσβασης, αλλά πιο βασικό είναι να χρησιμοποιείται διαφορετικό Password σε κάθε online υπηρεσία.
