Περισσότερες από 23.000 παραβιασμένες βάσεις δεδομένων βρίσκονται διαθέσιμες σε hacking forums και Telegram channels, με τους ειδικούς ασφαλείας να λένε πως πρόκειται για τη μεγαλύτερη ίσως διαρροή στο είδος της.
Λέγεται ότι οι βάσεις δεδομένων προέρχονται από το Cit0Day.in, μια ιδιωτική υπηρεσία που διαφημίζεται σε hacking forums.
Ουσιαστικά, η υπηρεσία Cit0day συλλέγει παραβιασμένες βάσεις δεδομένων και, στη συνέχεια, δίνει στους εγκληματίες πρόσβαση σε στοιχεία, όπως ονόματα χρήστη, email, διευθύνσεις, ακόμη και κωδικούς πρόσβασης (με ημερήσια ή μηνιαία χρέωση).
Η ιδέα πίσω από αυτό το site δεν είναι καινούρια. Το Cit0Day μοιάζει με παλαιότερες υπηρεσίες, όπως οι LeakedSource και WeLeakInfo, οι οποίες καταργήθηκαν το 2018 και το 2020, αντίστοιχα.
Το Cit0Day ξεκίνησε να λειτουργεί τον Ιανουάριο του 2018, όταν έκλεισε το LeakedSource, και διαφημίστηκε σε μεγάλο βαθμό σε hacking forums.
Ωστόσο, το site Cit0day έκλεισε πριν λίγο καιρό, επειδή λέγεται ότι το FBI και το DOJ εξέδωσαν απόφαση για κατάσχεση του βασικού domain.
Αμέσως, άρχισαν να κυκλοφορούν διάφορες φήμες. Κάποιες από αυτές ανέφεραν ότι ο δημιουργός του site, ένα άτομο γνωστό ως Xrenovi4, ενδέχεται να έχει συλληφθεί. Όμως, όλα τα σημάδια δείχνουν ότι η ειδοποίηση κατάργησης από το FBI ήταν πλαστή.
Στέλεχος της KELA (Raveed Laeb) δήλωσε στο ZDNet ότι το banner κατάσχεσης ήταν ίδιο με αυτό της Deer.io, μιας πλατφόρμας για hackers, τύπου Shopify. Ουσιαστικά ήταν αντιγραφή και έγινε επεξεργασία για να ταιριάζει στο site Cit0day.
Το FBI αρνήθηκε να σχολιάσει.
Επιπλέον, δεν ανακοινώθηκε ποτέ κάποια σύλληψη που να συνδέεται με την υπηρεσία Cit0day, κάτι που έρχεται σε αντίθεση με τον τρόπο λειτουργίας του FBI και του DOJ. Και οι δύο υπηρεσίες “κατεβάζουν” εγκληματικά sites, μόνο όταν μπορούν να κατηγορήσουν και να συλλάβουν τους δημιουργούς τους.
Οι παραβιασμένες βάσεις δεδομένων βρίσκονται διαθέσιμες για λήψη στο διαδίκτυο
Δεν είναι σαφές εάν ο ίδιος ο Xrenovi4 διέρρευσε τις βάσεις δεδομένων ή αν τα δεδομένα παραβιάστηκαν από μια αντίπαλη συμμορία. Όπως και να έχει, ολόκληρη η συλλογή παραβιασμένων βάσεων δεδομένων της Cit0day βρέθηκε σε γνωστό ρωσόφωνο hacking forum. Οποιοσδήποτε εγκληματίας μπορούσε να κατεβάσει δωρεάν τη συλλογή.
Συνολικά, παρέχονταν για λήψη 23.618 παραβιασμένες βάσεις δεδομένων, μέσω του file-hosting portal MEGA. Ο σύνδεσμος υπήρχε για μερικές μόνο ώρες.
Υπολογίζεται ότι οι βάσεις δεδομένων (μεγέθους 50 GB) περιέχουν τουλάχιστον 13 δισεκατομμύρια αρχεία χρηστών. Αυτό έχει επιβεβαιωθεί και από χρήστες των forums και από την ιταλική εταιρεία ασφαλείας D3Lab.
Αλλά παρόλο που τα δεδομένα ήταν διαθέσιμα για λίγες μόνο ώρες, δημιουργήθηκε πρόβλημα. Από τον Οκτώβριο, οι βάσεις δεδομένων της Cit0day βρίσκονται σε Telegram και Discord channels, που λειτουργούν από γνωστούς underground data brokers.
Την Κυριακή, κυκλοφόρησαν δεδομένα και σε ένα άλλο hacking forum, ακόμα πιο δημοφιλές.
Η συλλογή περιλαμβάνει τόσο νέες όσο και παλιές παραβιασμένες βάσεις δεδομένων
Οι περισσότερες από τις παραβιασμένες βάσεις δεδομένων περιλαμβάνουν δεδομένα από παραβιάσεις που είχαν γίνει χρόνια πριν.
Επιπλέον, πολλές από αυτές προέρχονται από μικρά και όχι τόσο γνωστά sites. Συμπεριλαμβάνονται, όμως, και δεδομένα από γνωστές παραβιάσεις. Στις περισσότερες περιπτώσεις, τα μικρά sites δεν χρησιμοποιούσαν μέτρα ασφαλείας (ούτε καν κωδικούς πρόσβασης).
Τώρα, αυτά τα δεδομένα χρησιμοποιούνται πιθανότατα από εγκληματικές ομάδες για την πραγματοποίηση spam, credential stuffing και password spraying επιθέσεων εναντίον χρηστών που χρησιμοποιούν τους ίδιους κωδικούς σε διαφορετικά sites και πλατφόρμες.
Παρόλο που πολλά δεδομένα προέρχονται από παλιές παραβιάσεις, πρόκειται για μια μεγάλη διαρροή που σίγουρα επηρεάζει πολλούς χρήστες.
Υπηρεσίες όπως το Cit0day, φέρνουν ξανά στην επιφάνεια παλιές παραβιάσεις.
Οι χρήστες θα πρέπει να κινητοποιηθούν και να ελέγχουν τους κωδικούς πρόσβασης που χρησιμοποιούν στους διαδικτυακούς τους λογαριασμούς. Θα πρέπει να χρησιμοποιούνται ισχυροί και μοναδικοί κωδικοί πρόσβασης και, όπου είναι δυνατόν, να εφαρμόζεται έλεγχος ταυτότητας πολλαπλών παραγόντων.