Блог

2,7 милиарда имейл адреса са разкрити онлайн, повече от 1 милиард от тях включват пароли

изтичане на имейл парола



Огромна база данни с повече от 2,7 милиарда имейл адреса беше оставена открита в мрежата, достъпна за всеки с уеб браузър. Повече от един милиард от тези записи също съдържаха парола в обикновен текст, свързана с имейл адреса.

Comparitech си сътрудничи с изследователя по сигурността Боб Диаченко, за да разкрие базата данни на 4 декември 2019 г. Въпреки че собственикът на базата данни не беше идентифициран, Диаченко незабавно предупреди американския интернет доставчик, който хостваше IP адреса, да я свали.



По-голямата част от имейлите бяха от китайски домейни, включително qq.com, 139.com, 126.com, gfan.com и game.sohu.com. Тези домейни принадлежат на някои от най-големите интернет компании в Китай, включително Tencent, Sina, Sohu и NetEase.

Няколко имейл адреса имаха домейни на Yahoo и Gmail, както и някои руски, като rambler.ru и mail.ru.



След проверка заключихме, че всички имейли с пароли произхождат от така нареченото „Голямо азиатско изтичане“, първо разкрити от HackRead . През януари 2017 г. доставчик на тъмна мрежа продаваше записите, които включват пароли.

График на изтичането

Comparitech незабавно предприе стъпки за премахване на базата данни при откриване, за да смекчи вредата за крайните потребители, но не знаем дали някой е имал достъп до нея междувременно. Ето какво знаем:

  • 1 декември 2019 г.: Базата данни беше индексирана за първи път от търсачката BinaryEdge и оттогава е публично достъпна.
  • 4 декември 2019 г.: Диаченко откри базата данни и незабавно предприе стъпки за уведомяване на отговорните страни.
  • 9 декември 2019 г.: Достъпът до базата данни беше деактивиран.

Общо данните бяха изложени повече от седмица, давайки на злонамерените страни достатъчно време да ги намерят и копират за собствените си цели.

Базата данни изглежда се актуализира и увеличава в реално време. Броят на акаунтите се увеличи от 2,6 на 2,7 милиарда между времето, когато изпратихме известието, и когато базата данни беше свалена.

Каква информация беше разкрита?

1,5 TB данни съдържаха удивителните 2,7 милиарда записа. Повече от 1 милиард от тези включени пароли.

голямо азиатско изтичане на данни

Тъй като много китайци изпитват трудности при четенето на английски знаци, те често използват своите телефонни номера или други цифрови идентификатори като потребителски имена. Следователно можем да предположим, че много от тези имейл адреси съдържат и телефонни номера.

В допълнение към имейл адресите и паролите, записите съдържаха MD5, SHA1 и SHA256 хешове на всеки имейл адрес. Хешовете са шифрован текст – в този случай имейл адресът – с фиксирана дължина. Те често се използват за сигурно съхраняване на данни в сценарии, когато би било твърде опасно да се съхраняват данни в обикновен текст. Тяхното включване в тази база данни не служи на очевидна цел, но могат да се използват за улесняване на търсенето в релационни бази данни.

Опасности от разкрити данни

База данни като тази вероятно ще бъде използвана за пълнене на удостоверения . Пълненето на идентификационни данни е атака, която се опитва да влезе в различни онлайн акаунти с известни комбинации от имейл и парола. Хакерите се възползват от факта, че много хора използват един и същ имейл и парола в множество акаунти. Те използват автоматизирана система за опити за влизане в няколко сайта, използвайки идентификационните данни, съхранени в базата данни.

След като хакерите получат достъп до акаунт, те могат да го отвлекат, като променят паролата и свързания имейл. След това може да се използва за голямо разнообразие от цели, включително спам, фишинг, измама, кражба и др.

Засегнатите потребители трябва незабавно да сменят паролите на своите имейл акаунти, както и всички други акаунти, които споделят същата парола.

Какво представлява „Голямото изтичане на азиатски данни“

През януари 2017 г. HackRead съобщи, че доставчик на тъмна мрежа продава 1 милиард потребителски акаунти, откраднати от китайски интернет гиганти. В доклада се споменава, че повече от 60 копия на данните са били продадени към момента на писане за около $615 всяко в биткойни.

Повечето, но не всички, от записите съдържаха имейл адреси от китайски домейни:

  • Netease: Около 322 милиона записа от притежавани от Netease домейни, включително 126.com, 163.com, 163.net и Yeah.net.
  • Tencent: Около 130 милиона имейла съдържаха домейна qq.com. Компанията, която притежава WeChat, притежава и QQ, една от най-популярните платформи за незабавни съобщения в Китай.
  • Sina: 31 милиона записа включват домейна sina.com, който принадлежи на компанията, която управлява китайската социална мрежа, подобна на Twitter, Sina Weibo.
  • Sohu: 23 милиона записа съдържат домейни sohu.com. Sohu управлява широка гама от онлайн услуги, включително търсачка, реклама и онлайн игри.

Други известни собственици на домейни, чиито потребители са засегнати от изтичането на информация, включват: TOM Online (tom.com), Eyou (eyou.com), SK Communications (nate.com), Google (gmail.com), Yahoo (yahoo.com), и Hotmail (hotmail.com).

Доставчикът, DoubleFlag, е добре известен с продажбата на високопрофилни пробити данни. Прорезите на колана му включват Epic Games, uTorrent Forum, BitcoinTalk.org, Yandex.ru, Mail.ru, Dropbox, Brazzers и Experian.

Как и защо открихме това изтичане

Comparitech си партнира с експерта по сигурността Боб Диаченко, за да сканира интернет и да открие бази данни, които са оставени изложени на обществеността. Когато открием такъв, незабавно предприемаме стъпки, за да уведомим отговорните страни да го затворят или да премахнат достъпа.

Диаченко използва дългогодишния си опит в киберсигурността, за да намери и анализира тези течове. Той прави всички опити да идентифицира кой е отговорен за данните, за да може да ги защити.

След това проучваме откритите данни, за да разберем чии лични данни са изтекли, какво съдържат, за колко време са били изложени и какви заплахи могат да бъдат изправени жертвите. Събираме констатациите си в доклад като този, за да повишим осведомеността сред засегнатите. Нашата надежда е да ограничим достъпа и злоупотребата с лични данни от злонамерени страни.

Предишни доклади

Това е най-голямото излагане на данни, което Comparitech открива до момента. Някои от другите ни доклади включват:

^