Ο καταχωρητής ιστοσελίδων papaki.com, ένας από τους πιο γνωστούς στη χώρα μας, φαίνεται να έχει δεχτεί επιτυχημένη κυβερνοεπίθεση μεγάλης κλίμακας. Τις τελευταίες ώρες, πληθαίνουν οι πελάτες της Papaki που κάνουν λόγο για μη εξουσιοδοτημένη πρόσβαση στα συστήματα της. Μάλιστα, πολλοί έχουν λάβει και ενημερωτικό email που τους συμβουλεύει να ενεργοποιήσουν άμεσα το 2 Factor Authentication για να προφυλαχτούν από πιθανή παραβίαση των προσωπικών τους δεδομένων. Ας δούμε τι ακριβώς συνέβη.
Άγνωστοι -μέχρι στιγμής- χάκερς εισέβαλαν στο σύστημα του papaki.com, προκαλώντας μια πλήρη διαρροή προσωπικών δεδομένων. Το μέγεθος της διαρροής είναι ασύλληπτο: στοιχεία τιμολόγησης, πληροφορίες για domains και κωδικοί πρόσβασης έπεσαν στα χέρια των χάκερς. Με τρόπο που φαίνεται να μην εντοπίστηκε έγκαιρα από τα συστήματα ασφαλείας της εταιρείας (αδυναμία sql injection/phishing ή 0day exploit), οι χάκερς κατάφεραν να διαπεράσουν τα συστήματα ασφαλείας του papaki.com, αποκτώντας πρόσβαση στο σύνολο των ευαίσθητων πληροφοριών των πελατών της εταιρείας.
Όπως βλέπουμε και στα ακόλουθα screenshots από ενημερωτικά emails που έχουν αποσταλεί σε πελάτες της papaki, η επίθεση επιβεβαιώνεται.
Αξίζει να τονίσουμε ότι διαρροή δεδομένων από πιστωτικές κάρτες και κωδικούς πρόσβασης πελατών σε καταχωρητές domains είναι ένα ιδιαίτερα σοβαρό θέμα ασφάλειας που μπορεί να έχει εκτεταμένες συνέπειες για τους καταναλωτές και τις επιχειρήσεις.
Οι καταχωρητές domains είναι συχνά στόχοι για τους κυβερνοεγκληματίες, καθώς διαθέτουν μεγάλες ποσότητες ευαίσθητων πληροφοριών. Αυτές οι πληροφορίες μπορεί να περιλαμβάνουν τα στοιχεία πιστωτικών καρτών των πελατών, κωδικούς πρόσβασης, προσωπικά δεδομένα και άλλες ευαίσθητες λεπτομέρειες.
Όταν αυτά τα δεδομένα διαρρέουν, οι πελάτες εκτίθενται σε σημαντικούς κινδύνους, συμπεριλαμβανομένης της κλοπής ταυτότητας, της απάτης πιστωτικών καρτών και άλλων μορφών κυβερνοεγκλήματος. Επιπλέον, οι επιχειρήσεις που παρέχουν αυτές τις υπηρεσίες μπορεί να υποστούν σημαντικές οικονομικές απώλειες και να υπονομευθεί η εμπιστοσύνη των πελατών.
Οι λεπτομέρειες της επίθεσης στην εταιρεία PAPAKI/ENARTIA
Μέχρι αυτή την στιγμή η εταιρεία δεν έχει δημοσιοποιήσει Τεχνικές λεπτομέρειες αναφορικά με την επίθεση. Η εταιρεία έχει εστιάσει κυρίως στα δεδομένα που διέρρευσαν από τους hackers και όχι στον τεχνικό τρόπο που αυτό πραγματοποιήθηκε. Συνεπώς, είναι παρακινδυνευμένο να βγάλουμε συμπεράσματα πριν από την σχετική ανακοίνωση της εταιρείας. Παραυτα απο αντίστοιχές επιθέσεις σε καταχωρητές domains που έχουν πραγματοποιηθεί στο παρελθόν (σε Ελλάδα αλλά και εξωτερικό) η μεθοδολογία είναι σχεδόν ίδια. Πιθανολογούμε λοιπόν οτι οι κακόβουλοι εισβολείς:
- Είτε εντόπισαν μια αδυναμία (sql injection ή αλλη) zero-day που δεν ήταν εντοπίσημη απο τα συστήματα ασφάλειας της εταιρείας
- Είτε απέκτησαν εσωτερική πρόσβαση με phishing attacks σε κάποιους απο τους εργαζομένους της εταιρείας ή του group
- Είτε εντόπισαν σημαντική αδυναμία στην περίμετρο της εταιρείας (threat landscape) την οποία και αξιοποίησαν για να λάβουν πλήρη μη εξουσιοδοτημένη πρόσβαση.
Τα παραπάνω μπορεί να εφαρμόστηκαν είτε ενα εξ αυτών είτε όλα μαζί. Το σίγουρο είναι ότι αυτές οι επιθέσεις επιτυγχάνουν μόνιμη εσωτερική πρόσβαση (attack persistence) στις υποδομές των εταιρείων-στόχων, που συνήθως εντοπίζεται μετα απο πολύ καιρό η πρόσβαση και ενώ πλήθος δεδομένων έχουν διαρρεύσει στο Darknet ή προς άλλες κατευθύνσεις. Συνεπώς μια πραγματογνωμοσύνη και ενδελεχή ανάλυση forensics ειναι κάτι παραπάνω απο απαραίτητη!!
Ποια είναι η εταιρεία PAPAKI μέλος του Ομίλου ENARTIA
Η εταιρεία PAPAKI είναι μέλος του ENARTIA group of Brands,μαζί με την Top.host. Απο κοινού ανήκουν στην εταιρεία team.blue. που παρέχει αντίστοιχες υπηρεσίες σε πολλές χώρες της Ευρωπαικής Ένωσης.
Η εταιρεία PAPAKI μαζί με την Top.host διαθέτει τεράστιο αριθμό πελατών όπως διαπιστώνουμε απο τα όσα αναφέρουν στην ιστοσελίδα τους. 320.000(!) domains τελούν υπο διαχείριση της εταιρείας με τα 120.000 απο αυτά να διαθέτουν και ιστοσελίδες!
Είναι κατανοητό οτι η εταιρεία με τα ανωτέρω νούμερα πελατών, αποτελούσε ιδανικό στόχο κυβερνοεγκληματιών μιας και τα προσωπικά δεδομένα που μπορεί να αντλήσει κάποιος επιτιθέμενος απο επίθεση σε domain registra είναι α) ενημερωμένα β) αξιόπιστα γ) απολύτως προσωπικά και ακριβή.
Με τα δεδομένα που μπορούν να αντληθούν απο επιθέσεις σαν αυτή που πραγματοποιήθηκε στο PAPAKI μπορεί κάποιος να προχωρήσει σε πρόσθετες επιθέσεις εναντίων των πελατών, προσωποποιημένες επιθέσεις phishing ή ακόμα και παραποίησης ταυτότητας (impersonation).
Συσχετισμός με το Predator spyware;
Η χρονική συγκυρία ανακοίνωσης της κυβερνοεπίθεσης στην εταιρεία PAPAKI με την ανακοίνωση από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τα ύποπτα SMS του Predator δημιουργεί συγκεκριμένα ερωτηματικά. Πιο συγκεκριμένα:
To SecNews κατα την έρευνα που είχε διεξάγει για την τεχνική ανάλυση του Predator μεταξύ άλλων είχε καταλήξει και σε κακόβουλο domain που είχε χρησιμοποιηθεί από το Predator (συγκεκριμένα το live24.com.gr)
To εν λόγω domain είχε καταχωρηθεί προς χρήση απο τους ίδιους χειριστές του Predator που είχαν κατοχυρώσει το σύνολο των domains που χρησιμοποιήθηκε. Το συγκεκριμένο domain live24.com.gr φαινεται να κατοχυρώθηκε στην εταιρεία Tophost – εταιρεία που ανήκει στο Enartia Group όπου ανήκει και το Papaki που στοχοποιήθηκε. Το SecNews είναι σε θέση να γνωρίζει ότι οι δικαστικές αρχές προχώρησαν σε λήψη των σχετικών στοιχείων καταχωρητή απο την εταιρεία top.host για το εν λόγω domain (πιστωτικές κάρτες/name register/ registration IP κλπ) και προχώρησαν την έρευνα προς αυτή την κατεύθυνση.
Συνεπώς, η χρονική συγκυρία είναι ότι στο ίδιο χρονικό διάστημα που η ΑΠΔΠΧ ανακοινώνει τα ύποπτα SMS που χρησιμοποιούσαν κακόβουλα domains απο τους χειριστές του Predator ανακοινώνεται (η εντοπίζεται) επίθεση στο Papaki.
Αναφορές που ΔΕΝ έχουν δεί μέχρι σήμερα το φώς της δημοσιότητας, αναφέρουν ότι οι χειριστές του Predator χρησιμοποιούσαν το κακόβουλο λογισμικό και για ίδιο όφελος στοχοποιώντας εταιρείες/οργανισμούς και φορείς για να αντλήσουν δεδομένα εν αγνοία των υπηρεσιών.Στην συνέχεια είχαν την δυνατότητα δημιουργώντας βάσεις δεδομένων με προσωπικά στοιχεία να μπορούν να στοχοποιήσουν τα θύματα-στόχους. Δυο περιπτώσεις στοχοποίησης εταιρειών-φορέων που έχουν τεθεί υπόψη της δημοσιογραφικής ομάδας του SecNews, συγκλίνουν προς αυτή την κατεύθυνση.
Θα πρέπει συνεπώς το PAPAKI αλλά και η αρχή που θα αναλάβει την διερεύνηση της υπόθεσης (σε συνδυασμό με forensics analysis) να διερευνήσει αν και κατα πόσο οι πιθανολογούμενοι hackers είναι πρόσωπα που εν αγνοία της εταιρείας PAPAKI/TOPHOST στοχοποίησαν ή χρησιμοποιήσαν τις υποδομές τους για κακόβουλους σκοπούς. Ή εαν προσπάθησαν να αλλοιώσουν – διαγράψουν δεδομένα για κάλυψη πιθανόν ιχνών εφόσον διεξάγεται η δικαστική έρευνα ….
Συνέπειες της κυβερνοεπίθεσης στους πελάτες του Papaki.com
Το χτύπημα που δέχτηκε το Papaki.com είναι πιο ισχυρό από ότι θα μπορούσαμε να φανταστούμε. Δεν πρόκειται απλώς για μια τυπική επίθεση, αλλά για μια πραγματική απειλή για τους πελάτες του.
Διαρροή Προσωπικών Δεδομένων: Τα προσωπικά δεδομένα των πελατών του Papaki, όπως ονόματα, ηλεκτρονικές διευθύνσεις, διευθύνσεις κατοικίας, τηλεφωνικά νούμερα, έχουν διαρρεύσει. Αυτό είναι ικανό να προκαλέσει μεγάλη ανησυχία και να εκθέσει τους πελάτες σε περαιτέρω κινδύνους.
Διαρροή Κωδικών Πρόσβασης: Οι κωδικοί πρόσβασης για τα λογαριασμούς των πελατών στο Papaki.com έχουν επίσης διαρρεύσει. Αυτό σημαίνει ότι οι επιθετιθέμενοι έχουν την δυνατότητα να εισέλθουν στους λογαριασμούς των πελατών και να προκαλέσουν περαιτέρω ζημιές.
Διαρροή Πληροφοριών για Domains: Οι πληροφορίες για τα domains που έχουν καταχωρηθεί από τους πελάτες στο Papaki.com έχουν επίσης διαρρεύσει. Αυτό μπορεί να οδηγήσει σε καταχρήσεις ή σε απώλεια των domains ή μεταφορά domains προς τρίτους.
Σε αυτή την κρίσιμη κατάσταση, είναι απαραίτητο για τους πελάτες του Papaki.com να λάβουν άμεσα μέτρα για την προστασία των λογαριασμών και των προσωπικών τους δεδομένων.
Παραδείγματα καταχωρητών domains που έχουν πέσει θύμα επίθεσης hackers παγκοσμίως
Η κυβερνοεπίθεση στο Papaki δεν είναι μεμονωμένο περιστατικό. Αναρίθμητοι καταχωρητές domains παγκοσμίως έχουν βρεθεί στο στόχαστρο των hackers.
GoDaddy, ένας από τους μεγαλύτερους καταχωρητές domains στον κόσμο, έπεσε θύμα επίθεσης το 2020. Οι hackers είχαν πρόσβαση σε περίπου 1.2 εκατομμύρια εγγραφές πελατών.
“Η κυβερνοασφάλεια είναι μια ατελείωτη μάχη. Κανείς δεν είναι ασφαλής από τις επιθέσεις των hackers.”
Ακόμη και η Network Solutions, ο πρώτος οργανισμός που ξεκίνησε την καταχώρηση domain names, δεν ήταν ανενόχλητος. Το 2019, εκατομμύρια λογαριασμοί πελατών τους ήταν εκτεθειμένοι, αποκαλύπτοντας ονόματα, διευθύνσεις και άλλα ευαίσθητα δεδομένα.
Αυτά τα περιστατικά επιδεικνύουν την ανάγκη για αυξημένη προσοχή στην κυβερνοασφάλεια, ειδικά στον κόσμο των καταχωρητών domains. Είναι σαφές πως η απειλή των hackers είναι παρούσα και όλοι, από τους μικρούς καταχωρητές μέχρι τους πρωτοπόρους του χώρου, πρέπει να είναι σε επιφυλακή.
Ποιες άλλες εταιρείες παροχής υπηρεσιών καταχωρητή πρέπει να προσέξουν μετά την κυβερνοεπίθεση στο Papaki;
Η κυβερνοεπίθεση στο Papaki μας υπενθυμίζει ότι κανένας δεν είναι ασφαλής στον κόσμο του διαδικτύου. Σημαντικό είναι να κατανοήσουμε πως οι εταιρείες που παρέχουν υπηρεσίες καταχωρητή δεν είναι απλά παρατηρητές, αλλά πρέπει να είναι ενεργά μέλη στην προστασία των πελατών τους.
Για να αντιμετωπίσουν αυτό το πρόβλημα, οι επιχειρήσεις πρέπει να εφαρμόσουν στρατηγικές ασφάλειας που περιλαμβάνουν την προστασία των δεδομένων των πελατών, την ενίσχυση των συστημάτων ασφάλειας και την εκπαίδευση του προσωπικού σε θέματα ασφάλειας. Επιπλέον, πρέπει να υπάρχει ένα σχέδιο αντίδρασης σε περίπτωση διαρροής δεδομένων, το οποίο περιλαμβάνει την ενημέρωση των πελατών, την αναζήτηση της πηγής της διαρροής και την αποκατάσταση της ασφάλειας.
Τι μπορείτε να κάνετε για να προστατεύσετε τα δεδομένα σας μετά την κυβερνοεπίθεση;
Υπάρχουν βήματα που μπορείτε να ακολουθήσετε για να ελαχιστοποιήσετε τον κίνδυνο και να προστατεύσετε τα δεδομένα σας.
- Αλλάξτε τους κωδικούς σας: Το πρώτο και πιο σημαντικό βήμα είναι να αλλάξετε άμεσα τους κωδικούς σας. Βεβαιωθείτε ότι χρησιμοποιείτε ισχυρούς κωδικούς – μείγμα χαρακτήρων, αριθμών και συμβόλων.
- Ενεργοποιήστε τη διαδικασία επαλήθευσης δύο βημάτων: Η διαδικασία επαλήθευσης δύο βημάτων μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφάλειας, απαιτώντας μια δεύτερη μορφή επιβεβαίωσης ταυτότητας.
- Ελέγξτε τις τραπεζικές σας συναλλαγές: Ελέγξτε τις τραπεζικές σας συναλλαγές για οποιαδήποτε ύποπτη δραστηριότητα. Εάν δείτε κάτι που δεν αναγνωρίζετε, επικοινωνήστε άμεσα με την τράπεζά σας.
- Παρακολουθήστε την αλληλογραφία σας: Παρακολουθήστε την αλληλογραφία σας για μηνύματα από υπηρεσίες ή λογαριασμούς που δεν αναγνωρίζετε. Αυτό μπορεί να είναι ένα πρώτο σημάδι ότι κάποιος δοκιμάζει να χρησιμοποιήσει τα δεδομένα σας.
Το SecNews τηρώντας την δημοσιογραφική δεοντολογία έχει αποστείλει σχετικά ερωτήματα σε αρμόδια στελέχη της εταιρείας team.blue και ENARTIA και θα δημοσιεύσει την άποψη της εταιρείας στο παρόν άρθρο μόλις την λάβει. Η εταιρεία είναι πλήρως συνεργάσιμη με τις αρχές αλλά και δημοσιογραφικά και θα απαντήσουν σε όλα τα ερωτήματα που έχει θέσει η συντακτική ομάδα.
