Следующая новость
Предыдущая новость

Эксперты подтвердили утечку данных 26 млн пользователей LiveJournal

28.05.2020 14:52
Эксперты подтвердили утечку данных 26 млн пользователей LiveJournal

Рекомендуем почитать:

Xakep #252. Чемоданчик хакера

  • Содержание выпуска
  • Подписка на «Хакер»-35%

В середине мая 2020 года в Telegram-канале главы компании DeviceLock Ашота Оганесяна появилась информация об утечке данных 33,7 млн пользователей «Живого журнала» (он же ЖЖ, он же LiveJournal). Сообщалось, что обнаруженный текстовый файл содержит 33 726 800 строк, среди которых можно найти идентификаторы пользователей, email-адреса, ссылки на профили пользователей, а также пароли в формате простого текста (при этом 795 402 строки были с пустым паролем).

Последующий анализ паролей показал, что 69% сочетаний почта/пароль оказались уникальными, то есть никогда ранее не встречались в других утечках.

Эксперты подтвердили утечку данных 26 млн пользователей LiveJournal

Теперь издание ZDNet опубликовало материал, проливающий свет на подробности случившегося.

Журналисты пишут, что ЖЖ, судя по всему, пострадал от взлома еще в 2014 году, и слухи об этом долгие годы циркулировали в сети. К примеру, о компрометации говорили в октябре 2018 года, когда пользователи ЖЖ массово сообщали, что в рамках шантажистской sextortion-кампании им присылали их старые, но уникальные пароли от LiveJournal.

I've received this extortion letter, with an email address I used unique to LiveJournal, and an ancient password.

— Aaron Wigley (@wigsofoz) October 19, 2018

Хотя взлом 2014 года не был подтвержден официально, в последние месяцы атакам также подверглась и блогинговая платформа DreamWidth, созданная на основе кодовой базы LiveJournal. В серии постов и твитов разработчики DreamWidth рассказали о масштабных credential stuffing атаках, которые они наблюдают в последнее время.

Напомню, что этим термином обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв. К сожалению, пользователи часто используют для разных сервисов одинаковые логины и пароли, не меняя их годами, что и делает подобные атаки весьма эффективными.

LJ hasn't made a formal disclosure or announcement, but we at @dreamwidth have been seeing credential stuffing attacks (we have a lot of overlap with LJ) increase greatly lately. I'm emailing you with what we've found!

— Denise "rahaeli" Paolucci (@rahaeli) May 26, 2020

В DreamWidth утверждают, что хакеры использовали старые комбинации имен пользователей и паролей от LiveJournal для взлома учетных записей DreamWidth, и размещали спам-сообщения на сайте.

Однако компания «Рамблер», которой принадлежит LiveJournal, по-прежнему отказывалась признать факт компрометации, даже после того, как к ней обратились администраторы DreamWidth.

Теперь же факт утечки пользовательских данных из ЖЖ подтвердил авторитетный агрегатор утечек Have I Been Pwned (HIBP). Администрация сервиса получила копию БД пользователей LiveJournal и проиндексировала ее на своем сайте.

Согласно информации HIBP, дамп содержит данные 26 372 781 пользователя LiveJournal: имена пользователей, email-адреса и пароли в виде открытого текста. Напомню, что это согласуется с информацией Ашота Оганесяна, который подсчитал, что дамп содержит примерно 22,5 млн уникальных сочетаний почта/пароль.

Подтвердили факт существования дампа и аналитики ИБ-компании KELA, которые нашли множество упоминаний украденной базы данных и ее копии в разных местах хакерского андеграунда.

Так, сначала KELA и ZDNet обнаружили несколько объявлений, размещенных брокерами данных. В этих объявлениях хакеры сообщали, что хотят продать или купить базу данных LiveJournal. То есть преступники хорошо знали о похищенных у ЖЖ данных и активно ими обменивались.

Судя по этим объявлениям, после компрометации ЖЖ в 2014 году хакеры продавали украденные данные в частном порядке, — передавали БД из рук в руки среди спамерских групп и операторов ботнетв. Так как этими данными обменивались снова и снова, информация в конечном итоге просочились в открытый доступ.

Первое упоминание о том, что база данных LiveJournal стала общедоступной, датировано июлем 2019 года, о чем тогда объявил ныне несуществующий сервис WeLeakInfo, торговавший ворованными данными.

New Data Breach Alert
Name: https://t.co/fpdL1DBf1N
Date: 2014
Records: 33,762,801
Status: Undisclosed
Info: Username, Email, Password (Plaintext)
See if your information was leaked for free at https://t.co/Il5zj4Bl4h
More coming soon!#weleakinfo #infosec #databreach #OSINT

— We Leak Info (@weleakinfo) July 13, 2019

Со временем этот дамп стал доступен еще шире. К примеру, недавно БД LiveJournal продавали в даркнете по цене всего 35 долларов США. В объявлении, которое показано на иллюстрации ниже, речь идет о 33 млн записей, но это лишь общий объем дампа до удаления дублей.

Эксперты подтвердили утечку данных 26 млн пользователей LiveJournal

В конечном итоге БД LiveJournal была опубликована на известном хакерском форуме, откуда практически моментально распространились повсюду, и теперь дамп бесплатно предлагают в Telegram-каналах и заливают в файлообменники.

Эксперты подтвердили утечку данных 26 млн пользователей LiveJournal

ZDNet отмечает, что платформа DreamWidth до сих пор страдает от атак с использованием старых учетных данных, украденных у LiveJournal, хотя разработчики компании выпускают обновления и стараются обезопасить своих пользователей.

Но риску, конечно, подвергаются не только пользователи DreamWidth. Люди, которые использовали логины и пароли от ЖЖ на других сайтах, тоже подвергаются риску взлома из-за credential stuffing атак. Пользователям, которые меняли свой пароль от ЖЖ после 2014 года, скорее всего, ничто не угрожает, однако специалисты все равно советуют изменить пароли от любых других учетных записей, где могли повторно использоваться те же учетные данные.

Интересно, что вчера ZDNet удалось получить комментарий от представителей «Рамблер». Дело в том, что еще две недели назад в компании заявляли, что информация об утечке данных «не соответствует действительности — это одна из кликбейтных новостей, задача которой — привлечь интерес к третьей стороне в данном вопросе».

Сейчас представители холдинга Rambler Group по-прежнему отрицают, что хакеры получили доступ к их системам, но подтверждают существование дампа и говорят, что БД содержит информацию, которую хакеры долгие годы собирали из разных источников: зараженных малварью систем (данные похищены из браузеров) и брутфорс-атак (хакеры попросту подбирали пароли от LiveJournal).

«Мы постоянно ведем мониторинг и стремимся к тому, чтобы наши пользователи чувствовали себя в безопасности и максимально защищенными. Мы проанализировали появившиеся данные и можем сообщить, что эти данные могли быть скомпилированы с использованием разных источников и в основном фальсифицированы.

Мы сталкивались со случаями брут-форс атак в 2011-2012 годах. С тех пор мы внедрили систему обнаружения подозрительной активности для отслеживания и блокировки подозрительных входов в систему, а также улучшили механизмы хранения паролей. Мы разработали все необходимые протоколы для случаев несанкционированного использования учетных записей.

Мы регулярно предупреждаем наших пользователей о необходимости обновления паролей. Мы деактивируем пароли, которые не обновлялись в течение длительного времени. Пользователи, испытывающие проблемы с доступом к своим учетным записям, всегда могут отправить запрос в службу поддержки, чтобы получить помощь», — заявили представители Rambler Group.

Источник

Последние новости