Końcówka poprzedniego tygodnia w świecie cyberbezpieczeństwa przyniosła nam nie lada wyzwanie. Nagłówki zagranicznych portali donosiły o odnalezieniu gigantycznego, jednego z największych wycieków danych na świecie. Czy zdarzenie określane jako Alien TXTBase faktycznie jest tak spektakularne? Sprawdziliśmy to.
Poddaliśmy analizie całą bazę danych liczącą przeszło 23 miliardy rekordów. Czy mamy czego się obawiać? Ile z tych danych dotyczyło Polaków? W poniższym artykule postaramy się nieco przybliżyć ten „wyciek” i odpowiedzieć na parę pytań.
Zaczęło się od tweeta
Zaczęło się od tweeta Troya Hunt, założyciela serwisu HaveIBeenPwned.com. Pod koniec lutego poinformował on o odnalezieniu kilkuset plików, zawierających 23 miliardy linii tekstu. Loginów, adresów mailowych, haseł, a co istotne – również linków prowadzących do stron, do których hasła rzekomo pasują. Nasuwa się pytanie: skąd ten wyciek? Czy z jednego portalu, czy z kilku stron? Otóż… nie było żadnego wycieku. Dane, o których mówimy, nie zostały przechwycone w wyniku ataku na żaden serwis, czy bazę danych. Przestępcy wykradli je z komputerów swoich ofiar.
Oprogramowanie typu stealer – bo o nim mowa – kradnie z komputera ofiary dane oraz wysyła je bezpośrednio do przestępców. W zależności od celu, są one dystrybuowane i sprzedawane dalej lub wykorzystywane do dalszej działalności przestępczej. Wiele razy w serwisie CERT Orange Polska opisywaliśmy schemat działania stealerów (polecamy https://cert.orange.pl/aktualnosci/cracki-z-niespodzianka-czyli-uwazaj-co-instalujesz/). W skrócie: ofiara sama instaluje złośliwe oprogramowanie, najczęściej z podejrzanej witryny lub strony, która bardzo przypomina wiarygodną miejsce w internecie, jednak z „dziwnym” adresem. Czasem po prostu użytkownik stara się za wszelką cenę szukać płatnych aplikacji za darmo, poza oficjalnymi kanałami dystrybucji. Bywa również, iż przestępcy wykorzystują do tego celu płatne reklamy w wyszukiwarce Google.
Po pobraniu oraz zainstalowaniu podejrzanej aplikacji pliki z naszego komputera zostają automatycznie przesłane na serwery przestępców. Co w nich jest? Większość rzeczy, których nie chcielibyśmy nikomu ujawniać. W szczególności dane zapisane w przeglądarce – zapamiętane loginy, adresy mailowe, hasła. Może się zdarzyć również, iż dla wygody zdecydujemy, by przeglądarka zapamiętała numer naszej karty płatniczej (na szczęście kod CVV/CVC nie jest zapisywany). To wszystko, jak również dane niezapisane przez nas świadomie (np. pliki cookies) trafia do rąk przestępców. W opisywanym przez nas „wycieku” Alien TXTBase skupimy się właśnie nad takimi danymi.
Alien TXTBase czyli… co?
Skąd nazwa „wycieku”? Do opublikowania danych przyznaje się grupa Alien. Posiada ona własny kanał w serwisie Telegram, gdzie sprzedaje dane swoich ofiar. jeżeli wierzyć przestępcom, najtańszy dostęp do prywatnej grupy kosztuje 100 dolarów. W zamian otrzymujemy miesięczny dostęp do wykradzionych informacji oraz gwarancję nowych treści od miliona do 5 milionów rekordów dziennie. Oczywiście przestępcy obiecują unikalne dane, niewystępujące nigdzie indziej.
Analizie poddaliśmy przeszło 23 mld linii tekstu zawierających: adres strony internetowej, login lub adres mailowy oraz hasło. Pomimo zapewnień przestępców co do niepowtarzalności treści, okazało się, iż wiele z rekordów się powtarzało.
Po wyodrębnieniu unikalnych adresów e-mail oraz stron internetowych baza stopniała przeszło 46-krotnie. Co więcej, zestawiając pozostałe 490 mln rekordów z danymi, z którymi już mieliśmy styczność, okazało się, iż nie wszystkie są unikalne. Co nie zmienia faktu, iż ilość ofiar jest przeogromna.
Ilu Polaków jest wśród ofiar?
Skupmy się na tym, ilu polskich użytkowników sieci znajdziemy w tej grupie. By uzyskać szerszy obraz wyodrębniliśmy z bazy dwa główne typy danych – zawierające adres mailowy z w domenie .pl oraz zawierające polską witrynę. Obrana metodologia nie jest idealna, nie daje bowiem informacji o narodowości ofiary, gdy użytkownik posługujący się adresem w Gmail[.]com, czy Outlook[.]com zalogowany będzie do portalu z domeną o końcówce innej niż .pl. Trzeba przyjąć, iż wyliczenia są niedoszacowane, jednak zaprezentowane liczby mogą w pewien sposób pomóc oszacować skalę.
Po odseparowaniu polskich danych oraz usunięciu duplikatów powstała lista licząca prawie 10 milionów rekordów (dokładnie 9 694 716 linii). Oczywiście nie można powiedzieć, iż to liczba poszkodowanych Polaków.To bardziej lista mikro-incydentów bezpieczeństwa, obejmująca polskich użytkowników internetu oraz serwisów, do których prowadzą skradzione poświadczenia. Każda ofiara może mieć w swojej przeglądarce zapisanych kilkanaście lub kilkadziesiąt haseł do różnych witryn. Szczególnym zagrożeniem mogą okazać się przypadki włamań na skrzynki pocztowe, dzięki nim przestępcy mogą bowiem resetować hasła do powiązanych z tymi skrzynkami serwisów, z których korzysta ofiara.
A co, gdy w swojej skrzynce mailowej posiadamy szczególnie wrażliwe dane – takie jak dane medyczne lub skany dokumentów? Analizowana baza Alien TXTBase zawiera przeszło 3 miliony (2 987 626) polskich adresów mailowych wraz z hasłami, wykorzystywanych do logowania się do przeróżnych witryn. Pozostała część to rekordy, gdzie loginem jest nick, bądź numer telefonu.
Chcecie sprawdzić, czy Wasz adres mailowy znalazł się w Alien TXTBase? jeżeli zapisaliście się na powiadomienia z usługi HasłoAlert, a Wasze dane są w „wycieku”, ta informacja już do Was trafiła. W przeciwnym przypadku wejdźcie na stronę https://cert.orange.pl/hasloalert lub do Centrum Bezpieczeństwa w aplikacji Mój Orange. jeżeli zakładacie konto przez stronę, warto skorzystać z darmowej subskrypcji. Dzięki niej otrzymacie powiadomienie, jeżeli Wasz adres mailowy znajdzie się w kolejnym wycieku lub „wycieku”.
