Unknowns oferowali ponad 23 600 zhakowanych baz danych do pobrania na kilku podziemnych forach i przez Telegram. Mówi się, że pochodzą z usługi o nazwie Cit0Day.in wykorzystywanej przez cyberprzestępców, która obiecywała dostęp do nazw użytkowników, adresów e-mail, a nawet niezaszyfrowanych haseł za miesięczną opłatą.

Cit0Day rozpoczął się w styczniu 2018 r., wkrótce po tym, jak władze zamknęły LeakedSource, które również handlowało skradzionymi danymi logowania. Hakerzy zwykle wykorzystują te informacje do ataków ukierunkowanych. Transakcje Cit0Day zostały również rzekomo zakończone przez funkcjonariuszy organów ścigania. Od 14 września na stronie internetowej serwisu pojawił się komunikat, że ta domena została przejęta przez FBI i Departament Sprawiedliwości USA.

Jednak dostawca analizy zagrożeń, KELA, dowiedział się, że ten raport jest fałszywy i pochodzi z Deer.io, platformy handlu elektronicznego dla hakerów. Na rosyjskojęzycznym forum hakerów firma znalazła również pobranie łącznie 23 618 złamanych baz danych, które zostały udostępnione za pośrednictwem hosta plików Mega.

Szacuje się, że 50 GB, które podobno zawiera 13 miliardów danych logowania, było tam dostępne tylko przez kilka godzin. Pobieranie zostało ostatecznie usunięte w wyniku skargi dotyczącej nadużycia. Autentyczność danych została potwierdzona przez firmę KELA oraz włoskiego dostawcę zabezpieczeń D3Lab.

Obecnie dane krążą w zamkniętych kanałach Telegram i Discord obsługiwanych przez podziemnych sprzedawców danych. Około jedna trzecia danych została udostępniona bezpłatnie na innym podziemnym forum od niedzieli.

Publikowanie zhakowanych baz danych nie powinno stanowić poważnego zagrożenia dla bezpieczeństwa użytkowników. Większość pochodzi ze stron internetowych, które zostały zhakowane lata temu. Często bazy danych powinny mieć tylko kilka tysięcy lub dziesięć tysięcy wpisów i pochodzić z mniejszych i mało znanych serwisów.

Mówi się, że około jedna trzecia ujawnionej bazy danych została oznaczona jako „odszyfrowana” – hakerzy byli zatem w stanie odszyfrować hasła, które były dostępne tylko jako wartości skrótu, i przywrócić je do formatu zwykłego tekstu. Jednak wiele baz danych nie zawierało żadnych haseł.

Można teraz założyć, że dane zostaną ponownie wykorzystane w kampaniach spamowych. Dane mogą być również wykorzystywane do identyfikowania fałszywej wiadomości e-mail jako „prawdziwej”. Jednak prawdziwe niebezpieczeństwo powinno pojawić się tylko w przypadku użytkowników, którzy notorycznie używają haseł do wielu usług i nie zmieniali hasła od lat. Ponadto użytkownicy mogą korzystać z usług takich jak HaveIBeenPwned.com, aby sprawdzić, czy ich dane logowania zostały naruszone podczas ataku hakerskiego.

W przypadku ochrony punktów końcowych liczy się każda sekunda: dlaczego rozbrajanie w czasie rzeczywistym ma kluczowe znaczenie