Olvasónk hívta fel rá a figyelmünket, hogy a haveibeenpwned.com (HIBP) új bejegyzéssel bővült november 19-én. Ez egy online adatbázis, ahol bárki ellenőrizheti, hogy az e-mail címe korábban érintett volt-e adatszivárgásban, és azt is megnézhető, hogy melyikben. Ezt érdemes akár most rögtön elvégezni, hiszen volt már rá példa, hogy olyan, magyarok által is előszeretettel használt szolgáltatásokat törtek fel, mint a LinkedIn, a Myspace vagy a Tumblr, és még ezen időkből is keringenek megszerzett felhasználónév/jelszó párosok a neten.

Az új frissítés a Cit0day névre keresztelt gyűjtemény, ami több mint 23 ezer weboldal adatbázisából származó e-mail cím/jelszó párost tartalmaz.

A pakkban vannak titkosított jelszavak, de olyanok is, amiket nyers szövegfájlban tároltak, tehát védelem nélkül olvashatók. A gyűjtemény eredetileg a Cit0day.in nevű szolgáltatáshoz tartozott, amit kiberbűnözők kínáltak más kiberbűnözőknek. Innen feltört adatbázisokból származó felhasználóneveket, e-mail címeket, jelszavakat lehetett vásárolni napi, vagy havidíjas rendszerben, míg szeptemberben be nem zárta kapuit. Ezután kezdtek el keringeni a pletykák a hackerfórumokon, hogy a készítőt, bizonyos Xrenovi4-et letartóztathatták, mivel az oldalon már csak egy olyan üzenet olvasható, miszerint az FBI lecsapott rá. Egyesek szerint valójában nem történt hatósági beavatkozás, az értesítő hamis.

A ZDNet szerint nem egyértelmű az sem, hogy Xrenovi4 maga szivárogtatta-e ki az adatokat, vagy tőle lopták el, mindenesetre a Cit0day korábban pénzért kínált adatbázisának egy része ingyen letölthető formában bukkant fel a sötét webes fórumokon. Így jutott hozzá a haveibeenpwned.com tulajdonosa, Troy Hunt biztonsági szakértő, a Microsoft ausztráliai regionális igazgatója, aki a belépési információk közül többet is szúrópróbaszerűen tesztelt, és bejegyzésben részletezte főbb megállapításait. A szakember szerint a csomag nagy eséllyel valódi, működő belépési kombinációkat tartalmazhat, ezt egy olasz biztonsági cég, a D3Lab is megerősítette. A Hunt által vizsgált csomag egyébként csak 30 százaléka lehet a Cit0day teljes gyűjteményének.

Magyar egyetemek, Borkai, műszempilla webshop

Hunt szerint a belépési adatok több mint fele már korábbi, régebbi csomagokban is megtalálható, az érintett oldalak közül pedig rengeteg a kisebb látogatottságú, gyengébb védelmű lap, amelyekről kifejezetten könnyű lopni. A 13 gigabájtos Cit0Day.zip fájl két főbb mappát, azokon belül több almappát tartalmaz, és

226 883 414 e-mail címet érint.

Ez ugyan elsőre soknak hathat, de a haveibeenpawned.com top tízes listájára való felkerüléshez még nem elég, és ahogy Hunt is kiemeli, sok közte a régi adat - de természetesen akadnak frissen gyűjtöttek is.

Hunt böngészhetővé tette az érintett oldalak listáját a GitHubon, így a .hu-s végződésű domainekre mi is célzottan tudtunk keresni. Az adatcsomag első mappájában 180, míg a másodikban 115 darabot találtunk, köztük több magyar egyetem és erotikus oldal címét is. Pár közülük:

  • metropolitan.hu (Budapesti Metropolitan Egyetem)
  • enkk.hu (Emberi Erőforrás Fejlesztési Főigazgatóság)
  • budapestescort.hu
  • szex-partner.hu
  • portal.uni-corvinus.hu (Budapesti Corvinus Egyetem)
  • pt.bme.hu (Budapesti Műszaki Egyetem Polimertechnika Tanszék)
  • risk-conference.uni-corvinus.hu
  • sandorkaroly.hu (Sándor Károly Labdarúgó Akadémia)
  • akos.hu (Kovács Ákos énekes hivatalos honlapja)
  • borkaizsolt.hu (Borkai Zsolt, volt győri polgármester honlapja)
  • budaclean.hu

Mivel a magyar felhasználók akár .net-es végződéssel is jegyezhetnek be oldalakat, ezek közt is szétnéztünk. Megtaláltuk például az antlantiszkiado.net, hirdetek.net,muszempilla.net, emagyar.net, ingyenapro.net, magyaronline.net címeket.

Fotó: 24.hu

Egyes oldalak már nem aktívak, például a közélettől visszavonult Borkai Zsolté, a böngészőbe beütve láthatjuk, hogy a borkaizsolt.hu weblapot felfüggesztették. Ám az Internet Archive mentései is mutatják, hogy valóban a volt győri polgármester személyes oldaláról van szó, amiről 2007-2016 közt találhatók tartalommentések az archívumban, valamint Wikipédia oldala is ezt a címet említi.

A breachreport.com katalógusába szintén bekerültek egyes esetek, a budaclean.hu higiéniai kis- és nagykereskedés oldalának esetében olvasható, hogy adatbázisából több mint 1400 bejelentkezési azonosító került ki, és hogy ez vélhetően friss gyűjtés, ami először a cit0day-jel landolt netes fórumokon. A tárolás plain textben történt, tehát különösebb védelem nélkül.

Fotó: 24.hu /breachreport.com

Ákos oldalát ellenőrizve például kiderült, hogy az akos.hu-ról 2017 novemberében szivárgott ki több mint 47 ezer fiók információja, tehát egy régebbi incidensből származnak az adatok. A jelszavakat MD5-tel kódolták, ami bármilyen jelszót (karaktersorozatot) átalakít hexadecimális számmá. A Budapesti Metropolitan Egyetemhez tartozó metropolitan.hu címről a Breachreport katalógusa szerint szintén 2017-ben szivárogtak ki először adatok, tehát egy korábbi gyűjtésről van szó.

A Buda Clean Kft.-t és a Budapesti Metropolitan Egyetemet kerestük azzal kapcsolatban, hogy mit tudnak ezekről az esetekről, amint válaszolnak, cikkünket frissítjük.

Mit tanulhat ebből az átlagnetező?

Attól függetlenül, hogy egyes oldalak nem feltétlen érhetők már el, vagy régebbi szivárgásokból kerültek ki információk, a kiberbűnözők előszeretettel használják ki azt a felhasználói hanyagságot, hogy sokan ugyanazt az e-mail címet ugyanazzal a jelszóval használják más oldalakon is. Ha egy rosszakaró hozzájut egy ilyen kombinációhoz, más oldalakon is megpróbálkozhat belépni vele, mondjuk az áldozat Facebookjával, vagy akár PayPal fiókjával is próbálkozhat. Ezért is kell komolyan venni azt a sokat hangoztatott tanácsot, hogy sose használjuk ugyanazokat a jelszavakat.

Ahogy Hunt is írja: a legjobban akkor járunk el, ha jelszókezelőt használunk, és figyelünk az erős, egyedi jelszavakra.

A begyűjtött e-mail címek továbbá felhasználók adathalász-kampányokhoz is, ami szintén biztonsági kockázat a figyelmetlenebb netezőknél.

Nem lehet elégszer ismételni, hogy ha még hozzá is jutottak rosszakarók az email-jelszó párosunkhoz, a kétlépcsős azonosítás bekapcsolásával jó eséllyel megakadályozható, hogy annak birtokában bejelentkezhessenek a fiókunkba. A kétfaktoros, kétlépcsős hitelesítés lényege, hogy a felhasználó jelszaván túl egy másik azonosítót is kér a levelező (például SMS-ben, a telefonszámunkra elküldött kódot), így egy plusz rétegnyi biztonságot jelent a fiókunknak.

Ez Különösen akkor jön jól, ha mondjuk ugyanazzal a jelszóval védjük az e-mail fiókunkat is, amit egy másik szolgáltatásból elloptak, így még akkor sem tudnak hozzáférni a rosszfiúk a leveleinkhez, ha megszerezték a jelszavunkat. Érdemes hát bekapcsolni a Facebookon, a Gmailben, az Instagramon, és bárhol, ahol van rá lehetőség.

Nagyon hanyagok a netezők, ha a jelszavukról van szó

Csupán a felhasználók harmada cseréli jelszavát egy adatszivárgás után.


ÉRTÉKELD A MUNKÁNKAT EGY LÁJKKAL, ÉS OSZD MEG MÁSOKKAL IS! KÖSZÖNJÜK!