620 milhões de contas roubadas de 16 sites invadidos agora à venda na web escura
620 milhões de contas roubadas de 16 sites invadidos agora à venda na web escura, o vendedor se orgulha
Dubsmash, Armor Games, 500px, Whitepages, ShareThis e muito mais, dizem estar em disputa por $$$ s em BTC
Exclusivo Cerca de 617 milhões de detalhes da conta online roubados de 16 sites de hackers estão à venda a partir de hoje na web escura, de acordo com o vendedor de dados.
Por menos de US $ 20.000 em Bitcoin, afirmam, os seguintes bancos de dados de contas furtadas podem ser comprados no cyber-souk Dream Market, localizado na rede Tor:
Dubsmash (162 milhões), MyFitnessPal (151 milhões), MyHeritage (92 milhões), ShareThis (41 milhões), HauteLook (28 milhões), Animoto (25 milhões), EyeEm (22 milhões), 8fit (20 milhões), Whitepages ( 18 milhões), Fotolog (16 milhões), 500px (15 milhões), Armor Games (11 milhões), BookMate (8 milhões), CoffeeMeetsBagel (6 milhões), Artsy (1 milhão) e DataCamp (700.000).
Exemplos de registros de contas dos bancos de dados de vários gigabytes vistos pelo The Register parecem ser legítimos: eles consistem principalmente em nomes de titulares de contas, endereços de e-mail e senhas. Essas senhas são criptografadas ou criptografadas unidirecionais e, portanto, devem ser quebradas antes de poderem ser usadas.
Há alguns outros bits de informação, dependendo do site, como localização, detalhes pessoais e tokens de autenticação de mídia social. Parece não haver detalhes de pagamento ou cartão bancário nas listagens de vendas.
Assim, por exemplo, alguém que compra o banco de dados de 500px poderia decodificar as senhas mais fracas na lista, porque algumas foram criptografadas usando o algoritmo MD5 obsoleto e tentar usar as combinações de senha de endereço de e-mail e senha para entrar, digamos, em estranhos. Contas do Gmail ou Facebook, onde o endereço de e-mail e as senhas foram reutilizados.
Todos os bancos de dados agora estão sendo apresentados separadamente por um hacker, que afirma que ele normalmente explora vulnerabilidades de segurança em aplicativos da Web para obter execução remota de código e, em seguida, extrai dados de contas de usuários. Os registros foram roubados principalmente durante 2018, nos disseram, e foram colocados à venda esta semana.
O vendedor, que se acredita estar localizado fora dos EUA, nos disse que os dados do Dubsmash foram comprados por pelo menos uma pessoa.
Alguns dos sites - especialmente MyHeritage, MyFitnessPal e Animoto - eram conhecidos por terem sido invadidos, já que alertaram seus clientes no ano passado de que haviam sido comprometidos, enquanto os outros eram aparentemente violações de segurança recém-divulgadas. Em outras palavras, esta é a primeira vez que ouvimos esses outros sites supostamente hackeados. Isso também marca a primeira vez que esses dados, para todos os sites listados, foram anunciados publicamente, novamente se todas as afirmações dos vendedores forem verdadeiras.
Na semana passada, meia dúzia dos sites mencionados foi listada no Dream Market pelo vendedor: quando os identificamos, alertamos a Dubsmash, Animoto, EyeEm, 8fit, Fotolog e 500px que seus dados de contas estavam potencialmente sendo divulgados na web escura. .
No fim de semana, o bazar subterrâneo foi quase totalmente desativado, aparentemente por um ataque distribuído de negação de serviço. Na segunda-feira desta semana, o mercado do submundo voltou à força total e o vendedor acrescentou o restante dos sites. Entramos em contato com todos eles para alertá-los e pedir uma resposta. Enquanto isso, o Dream Market foi destruído novamente.
Aqui está um resumo do que é, ou brevemente foi, supostamente à venda:
Seu objetivo é tornar a "vida mais fácil" para os hackers, vendendo nomes de usuários e hashes de senhas para invadir outras contas, além de ganhar algum dinheiro e destacar para os internautas que eles precisam levar a segurança a sério - como usando autenticação de dois fatores para proteger contra roubo de senhas. O ladrão também queria estabelecer uma pontuação com um co-conspirador, vendendo uma grande quantidade de dados pessoais online.
O hacker anteriormente mantinha bancos de dados roubados privados, dando-os apenas àqueles que jurariam manter os dados em segredo.
"Eu não acho que sou profundamente malvado", o mal nos disse. "Eu preciso do dinheiro. Preciso que os vazamentos sejam divulgados.
"A segurança é apenas uma ilusão. Eu comecei a hackear há muito tempo. Eu sou apenas uma ferramenta usada pelo sistema. Todos sabemos que medidas são tomadas para evitar ataques cibernéticos, mas com esses despejos futuros, eu farei o hacking mais fácil do que sempre." ®
Por menos de US $ 20.000 em Bitcoin, afirmam, os seguintes bancos de dados de contas furtadas podem ser comprados no cyber-souk Dream Market, localizado na rede Tor:
Dubsmash (162 milhões), MyFitnessPal (151 milhões), MyHeritage (92 milhões), ShareThis (41 milhões), HauteLook (28 milhões), Animoto (25 milhões), EyeEm (22 milhões), 8fit (20 milhões), Whitepages ( 18 milhões), Fotolog (16 milhões), 500px (15 milhões), Armor Games (11 milhões), BookMate (8 milhões), CoffeeMeetsBagel (6 milhões), Artsy (1 milhão) e DataCamp (700.000).
Exemplos de registros de contas dos bancos de dados de vários gigabytes vistos pelo The Register parecem ser legítimos: eles consistem principalmente em nomes de titulares de contas, endereços de e-mail e senhas. Essas senhas são criptografadas ou criptografadas unidirecionais e, portanto, devem ser quebradas antes de poderem ser usadas.
Há alguns outros bits de informação, dependendo do site, como localização, detalhes pessoais e tokens de autenticação de mídia social. Parece não haver detalhes de pagamento ou cartão bancário nas listagens de vendas.
Quem são os compradores?
Esses silos de informações supostamente roubadas destinam-se a spammers e usuários de credenciais, motivo pelo qual as cópias são relativamente baratas para comprar. Os stuffers terão nomes de usuários e senhas vazadas de um site para entrar em contas em outros sites onde os usuários usaram as mesmas credenciais.Assim, por exemplo, alguém que compra o banco de dados de 500px poderia decodificar as senhas mais fracas na lista, porque algumas foram criptografadas usando o algoritmo MD5 obsoleto e tentar usar as combinações de senha de endereço de e-mail e senha para entrar, digamos, em estranhos. Contas do Gmail ou Facebook, onde o endereço de e-mail e as senhas foram reutilizados.
Todos os bancos de dados agora estão sendo apresentados separadamente por um hacker, que afirma que ele normalmente explora vulnerabilidades de segurança em aplicativos da Web para obter execução remota de código e, em seguida, extrai dados de contas de usuários. Os registros foram roubados principalmente durante 2018, nos disseram, e foram colocados à venda esta semana.
O vendedor, que se acredita estar localizado fora dos EUA, nos disse que os dados do Dubsmash foram comprados por pelo menos uma pessoa.
Alguns dos sites - especialmente MyHeritage, MyFitnessPal e Animoto - eram conhecidos por terem sido invadidos, já que alertaram seus clientes no ano passado de que haviam sido comprometidos, enquanto os outros eram aparentemente violações de segurança recém-divulgadas. Em outras palavras, esta é a primeira vez que ouvimos esses outros sites supostamente hackeados. Isso também marca a primeira vez que esses dados, para todos os sites listados, foram anunciados publicamente, novamente se todas as afirmações dos vendedores forem verdadeiras.
Isso é legal?
Um porta-voz do MyHeritage confirmou que amostras de seu banco de dados agora são reais, e foram retiradas de seus servidores em outubro de 2017, uma invasão cibernética que contou ao mundo em 2018. 500px também confirmou que seus dados foram roubados de seus servidores e colocados à venda esta semana na coleção do vendedor. Isso dá mais credibilidade aos dados.Na semana passada, meia dúzia dos sites mencionados foi listada no Dream Market pelo vendedor: quando os identificamos, alertamos a Dubsmash, Animoto, EyeEm, 8fit, Fotolog e 500px que seus dados de contas estavam potencialmente sendo divulgados na web escura. .
No fim de semana, o bazar subterrâneo foi quase totalmente desativado, aparentemente por um ataque distribuído de negação de serviço. Na segunda-feira desta semana, o mercado do submundo voltou à força total e o vendedor acrescentou o restante dos sites. Entramos em contato com todos eles para alertá-los e pedir uma resposta. Enquanto isso, o Dream Market foi destruído novamente.
Aqui está um resumo do que é, ou brevemente foi, supostamente à venda:
- Dubsmash : 161.549.210 são responsáveis por um total de 0,549 BTC ($ 1,976)11 GB de dados em dezembro de 2018. Cada registro de conta contém o ID do usuário, senha com hash SHA256, nome de usuário, endereço de e-mail, idioma, país, mais alguns, mas nem todos os usuários, o primeiro e o último nome. Esta alegada violação de segurança não foi anteriormente divulgada publicamente. O Dubsmash é um aplicativo de mensagens de vídeo popular entre os millennials e os jovens.
A Dubsmash, de Nova York, contratou o escritório de advocacia Lewis Brisbois para investigar a venda online. A sócia Simone McCormick nos disse:
Nosso escritório foi contratado para ajudar Dubsmash nessa questão. Obrigado pelo seu alerta. Nós imediatamente iniciamos uma investigação. Planejamos notificar todos e quaisquer indivíduos, conforme apropriado. Mais uma vez, obrigado por trazer isso à nossa atenção. - 500px : 14.870.304 contas para o total de 0,217 BTC (US $ 780)1,5 GB de dados tirados em julho de 2018. Cada registro de conta contém o nome de usuário, endereço de e-mail, senha criptografada, sal hash, primeiro e último nome e, se fornecido, aniversário, sexo e cidade e país. 500px é um site de redes sociais para fotógrafos e pessoas interessadas em fotografia.
"Nossa equipe de engenharia está atualmente investigando e se pudermos confirmar que houve uma violação, tomaremos as medidas necessárias para informar nossos usuários de acordo com os padrões GDPR", disse Stephanie Newell, porta-voz de 500px.
Atualização: 500px funcionários agora estão notificando seus usuários de que o site foi realmente invadido, e irá redefinir as senhas de todos, começando com aqueles com hash fracamente usando MD5.
"Somos capazes de confirmar uma violação", Newell nos disse. "Nossos engenheiros imediatamente lançaram uma revisão abrangente de nossos sistemas e, desde então, tomaram todas as precauções para protegê-los. Todas as áreas de vulnerabilidade foram identificadas e corrigidas durante nossa investigação interna e não encontramos nenhuma evidência até o momento de qualquer recorrência do problema. .
"No momento, estamos trabalhando para notificar toda a nossa base de usuários. No entanto, dada a quantidade de usuários afetados, essa tarefa durará um dia no mínimo. Tomamos todas as precauções para garantir a segurança dos dados de nossos usuários. Uma senha para todo o sistema A redefinição está em andamento para todos os usuários, priorizada na ordem das contas com o maior risco potencial, e já forçamos uma redefinição de todas as senhas criptografadas com MD5. "
Além disso, 500px, que tem sede no Canadá, disse que tomou as seguintes medidas para reforçar sua segurança:
- Vetted o acesso aos nossos servidores, bancos de dados e outros serviços de armazenamento de dados sensíveis.
- Analisamos e continuamos a monitorar nosso código-fonte, tanto voltado para o público quanto interno, para melhorar nossos protocolos de segurança e proteger contra problemas de segurança.
- Fizemos uma parceria com os principais especialistas em segurança cibernética para proteger ainda mais nosso site, aplicativos móveis, sistemas internos e processos de segurança.
- Modificações ao nosso processo interno de desenvolvimento de software.
- Revendo os dados de PII [informações pessoalmente identificáveis] que coletamos dos usuários e como eles são usados em nossa plataforma.
- Continuamos a atualizar nossa infraestrutura de rede. Nos últimos 12 meses, realizamos uma grande atualização para nossa infraestrutura de rede - esse projeto está em fase de conclusão e também oferecerá um aumento significativo na segurança. - EyeEm : 22.360.765 contas para 0,289 BTC ($ 1.040) no total1,7 GB de dados tirados em fevereiro de 2018. Cada registro de conta contém um endereço de e-mail e senha com hash SHA1, embora cerca de três milhões estejam sem um endereço de e-mail. Esta alegada violação de segurança não foi anteriormente divulgada publicamente. O EyeEm, com sede na Alemanha, é um ponto de encontro online para fotógrafos. Um porta-voz não respondeu a um pedido de comentário.
- 8fit : 20.180.667 para um total de 0,2025 BTC (US $ 728)1.9GB de dados coletados em julho de 2018. Cada registro de conta contém um endereço de e-mail, senha criptografada, país, código do país, token de autenticação do Facebook, foto do perfil do Facebook, nome, sexo e endereço IP. Esta alegada violação de segurança não foi anteriormente divulgada publicamente. A sede da Alemanha, a 8fit, oferece planos personalizados de exercícios e dietas para pessoas saudáveis.
Aina Abiodun, CEO da 8fit, nos disse que sua equipe está investigando, acrescentando: "Eu preciso responder a você sobre isso e não posso comentar imediatamente". - Fotolog : 16 milhões de contas para o total de 0,52 BTC (US $ 1.872)5,9 GB de dados em dezembro de 2018. Existem cinco bancos de dados SQL contendo informações, incluindo endereços de e-mail, senhas com hash SHA256, perguntas e respostas de segurança, nomes completos, locais, interesses e outras informações de perfil. Esta alegada violação de segurança não foi anteriormente divulgada publicamente. O Fotolog, com sede na Espanha, é outra rede social para tipos de fotografia. Um porta-voz não respondeu a um pedido de comentário.
- Animoto 25.402.283 representa o total de 0,318 BTC ($ 1,144)2.1GB de dados em 2018. Cada registro de conta contém um ID de usuário, senha com hash SHA256, senha, endereço de e-mail, país, nome e sobrenome e data de nascimento. Essa violação de segurança foi divulgada publicamente pela empresa sediada em Nova York em 2018, embora esta seja a primeira vez que os dados foram colocados à venda, nós entendemos.
"Nós fornecemos uma notificação sobre um incidente potencialmente afetando os clientes em agosto de 2018 depois que identificamos atividade incomum em nosso sistema", disse a porta-voz Rebecca Brooks. "Depois de identificar a atividade suspeita, imediatamente retiramos os sistemas e implementamos vários controles de segurança para ajudar a evitar que um incidente como esse acontecesse novamente". - MyHeritage 92,284,478 contas para 0,549 BTC ($ 1,976) no total3,6 GB de dados tirados em outubro de 2017. Cada registro de conta contém um endereço de e-mail, senha com hash SHA1 e salt, além da data de criação da conta. Essa violação de segurança foi divulgada publicamente pela empresa no ano passado , embora essa seja a primeira vez que os dados foram colocados à venda. Nenhum DNA ou informação sensível similar foi obtida. MyHeritage, com sede em Israel, é um serviço de rastreamento de árvores genealógicas que estuda os perfis genéticos dos clientes.
Um porta-voz nos disse:
A data, o número de usuários afetados e o tipo de informação [na divulgação de 2018] correspondem quase exatamente ao [banco de dados de venda a ser vendido], portanto, isso não parece uma nova violação. Parece provável que o (s) autor (es) da violação de outubro de 2017 ou alguém que obteve os dados deles esteja tentando vendê-lo. Vamos investigar isso imediatamente e relatar a tentativa de venda às autoridades para que possam tentar rastrear os responsáveis. Até o momento, não vimos nenhuma evidência de circulação, uso ou abuso dos endereços de e-mail violados e senhas com hash, e é a primeira vez que uma menção a eles aparece desde 4 de junho de 2018. - MyFitnessPal 150,633,038 são responsáveis por 0,289 BTC ($ 1,040) no total3,5 GB de dados tirados em fevereiro de 2018. Cada registro de conta contém um ID de usuário, nome de usuário, endereço de e-mail, senha hash SHA1 com um valor fixo para a tabela inteira e endereço IP. Essa violação de segurança foi divulgada publicamente pela empresa no ano passado. Esta pode ser a primeira vez que esta é vendida publicamente. MyFitnessPal de propriedade da Under-Armor faz o que diz na lata: é um aplicativo que rastreia dieta e exercício. Um porta-voz não respondeu a um pedido de comentário.
- Artsy 1.070.000 contas para 0,0289 total de BTC (US $ 104)184MB de dados coletados em abril de 2018. Cada registro de conta contém um endereço de e-mail, nome, endereços IP, localização e senha hash SHA512 com salt. Esta alegada violação de segurança não foi anteriormente divulgada publicamente. Artsy, localizado em Nova York, é uma casa on-line para coletar e organizar arte. Um porta-voz não respondeu a um pedido de comentário.
- Jogos de Armadura 11,013,617 representa 0,22749 BTC ($ 988) no total1,8 GB de dados tirados no final de dezembro de 2018. Cada registro de conta contém um nome de usuário, endereço de e-mail, senha hash SHA1 e data de nascimento, sexo, localização e outros detalhes do perfil. Esta alegada violação de segurança não foi anteriormente divulgada publicamente. A Armor Games, com sede na Califórnia, é um portal para uma tonelada de jogos baseados em navegador. Um porta-voz não respondeu aos pedidos de comentário.
- Bookmate 8,026,992 representa 0,159 BTC ($ 572) no total1,7 GB de dados coletados em julho de 2018. Cada registro de conta normalmente contém um nome de usuário, um endereço de e-mail, SHA512 ou uma senha criptografada com sal, sexo, data de nascimento e outros detalhes do perfil. Esta alegada violação de segurança não foi anteriormente divulgada publicamente. O British Bookmate faz aplicativos de leitura de livros. Um porta-voz não respondeu a um pedido de comentário.
- CoffeeMeetsBagel 6.174.513 para um total de 0.13 BTC ($ 468)673 MB de dados coletados em dezembro de 2017. Cada registro de conta contém, normalmente, um nome completo, endereço de e-mail, idade, data de registro, sexo e o que é reivindicado como uma senha com hash SHA256. Esta alegada violação de segurança não foi anteriormente divulgada publicamente. CoffeeMeetsBagel é um site de namoro.
Jenn Takahashi, porta-voz do CoffeeMeetsBagel, nos disse: "Não estamos cientes de uma violação neste momento, mas nossa equipe de segurança está investigando isso agora". Ela também disse que o biz de San Francisco não armazena senhas e usa sites de terceiros para autenticação.
"Nós nos envolvemos com a nossa equipe jurídica e especialistas em segurança forense para identificar quaisquer problemas e garantir que temos a melhor postura de segurança no futuro", acrescentou Takahashi. - Contas do DataCamp 700.000 para o total de 0,013 BTC (US $ 46,8)82MB de dados coletados em dezembro de 2018. Cada registro de conta contém um endereço de e-mail, uma senha criptografada em hash, um local e outros detalhes do perfil. Esta alegada violação de segurança não foi anteriormente divulgada publicamente. O DataCamp, baseado nos EUA, ensina ciência e programação de dados às pessoas. Um porta-voz nos disse que eles estão "olhando" para a venda online.
"Levamos esse assunto a sério e queremos verificar se esse é realmente o caso", disse Lode Vanacken, do biz. "Também investigaremos os registros de acesso e auditoria para ver se podemos rastrear qualquer acesso não autorizado em potencial. Se, de fato, investigações adicionais mostrarem que esses dados são válidos, nos comunicaremos com você e com os usuários finais afetados." - HauteLook 28 milhões de contas para o total de 0,217 BTC (US $ 780)1,5 GB de dados tirados durante 2018. Cada registro de conta contém um endereço de e-mail, uma senha criptografada e um nome. Esta alegada violação de segurança não foi anteriormente divulgada publicamente. HauteLook é uma loja online de moda, acessórios e assim por diante. Um porta-voz do biz de Los Angeles não respondeu a um pedido de comentário.
- ShareThis 41.028.098 contas para 0,217 BTC ($ 780) no total2.7GB de dados tirados no início de julho de 2018. Cada registro de conta contém um nome, nome de usuário, endereço de e-mail, senha com hash DES, gênero, data de nascimento e outras informações de perfil. Esta alegada violação de segurança não foi anteriormente divulgada publicamente. ShareThis baseado em Palo Alto faz um widget para compartilhar links para coisas com os amigos. Um porta-voz não respondeu a um pedido de comentário.
- Whitepages 17,775,679 representa 0,434 BTC ($ 1560) no total2,9 GB de dados coletados em 2016. Cada registro de conta contém um endereço de e-mail, senha criptografada SHA1 ou bcrypt e nome e sobrenome. Esta alegada violação de segurança não foi anteriormente divulgada publicamente. Whitepages é um diretório on-line de telefone e endereço baseado em Seattle. Um porta-voz não respondeu a um pedido de comentário.
Seu objetivo é tornar a "vida mais fácil" para os hackers, vendendo nomes de usuários e hashes de senhas para invadir outras contas, além de ganhar algum dinheiro e destacar para os internautas que eles precisam levar a segurança a sério - como usando autenticação de dois fatores para proteger contra roubo de senhas. O ladrão também queria estabelecer uma pontuação com um co-conspirador, vendendo uma grande quantidade de dados pessoais online.
O hacker anteriormente mantinha bancos de dados roubados privados, dando-os apenas àqueles que jurariam manter os dados em segredo.
"Eu não acho que sou profundamente malvado", o mal nos disse. "Eu preciso do dinheiro. Preciso que os vazamentos sejam divulgados.
"A segurança é apenas uma ilusão. Eu comecei a hackear há muito tempo. Eu sou apenas uma ferramenta usada pelo sistema. Todos sabemos que medidas são tomadas para evitar ataques cibernéticos, mas com esses despejos futuros, eu farei o hacking mais fácil do que sempre." ®