«Вероятность наличия ваших данных в этих сливах достаточно высока»: чем грозит рекордная утечка паролей?

В открытом доступе оказалось около 16 млрд учетных записей в 30 открытых наборах данных. Внутри — логины и пароли от аккаунтов Apple, Google, GitHub, «Телеграма», «Инстаграма»* и «Фейсбука»* Фото: «БИЗНЕС Online»

«Это свежая масштабная информация, которую можно использовать в качестве оружия»

О рекордной по своим масштабам и качеству утечке данных заявили сегодня специалисты компании Cybernews. В открытом доступе оказалось около 16 млрд учетных записей в 30 открытых наборах данных. Внутри — логины и пароли от аккаунтов Apple, Google, GitHub, «Телеграма», «Инстаграма»* и «Фейсбука»*. Такой слив открывает массу возможностей для хакеров, которые могут получить доступ к аккаунтам пользователей, их почте и другим сервисам.

Все наборы новые, и о них не сообщалось ранее. «Особенно тревожат структура и новизна этих наборов данных — это не просто старые взломанные системы, которые используются повторно. Это свежая масштабная информация, которую можно использовать в качестве оружия», — заявили исследователи. Ранее журнал Wired сообщил, что исследователь в области безопасности обнаружил «таинственную базу данных» с 184 млн записей, но теперь выясняется, что это лишь малая часть от всего объема данных.

Какие записи оказались скомпрометированы? Один набор данных с более чем 455 млн записей был назван в честь Российской Федерации, говорится в публикации. Еще один с более чем 60 млн записей связан с «Телеграмом». В самом большом наборе, скорее всего, связанном с португалоязычным населением, было более 3,5 млрд записей. Причем в некоторых данных также были добавлены cookie-файлы, токены и другие метаданные, необходимые для автоматического входа. По словам экспертов, утечка представляет большую угрозу для организаций, в которых не используется многофакторная аутентификация или не соблюдаются правила цифровой гигиены.

К счастью, как отмечается, все наборы данных были доступны лишь на короткое время. Но это, конечно, не гарантирует, что они не успели попасть в руки злоумышленников. И это не позволило исследователям понять, кто контролировал огромные объемы данных.

«Подобные сборы логинов и паролей, как правило, продаются за какие-то небольшие деньги, но массово. Для того чтобы использоваться в дальнейших атаках» Фото: ru.freepik.com

Во всем виноваты программы-шпионы?

Специалисты предполагают, что большинство данных могло быть получено с помощью программ-шпионов, которые собирают конфиденциальную информацию без ведома пользователя. Некоторые наборы также были названы в честь вредоносного программного обеспечения. При этом каждые несколько недель появляются новые огромные наборы данных, что говорит о том, насколько распространено вредоносное ПО для кражи данных, отмечается в публикации.

«Информация, которую удалось собрать команде, показала, что бо́льшая часть данных имела четкую структуру: URL-адрес, за которым следовали данные для входа в систему, и пароль. Большинство современных программ-шпионов, похищающих конфиденциальную информацию, собирают данные именно таким образом», — отмечает Cybernews.

Подцепить программу-шпион можно разными способами, например, скачав приложение из ненадежных источников, через фишинговые атаки, когда злоумышленник отправляет жертве сообщение от чужого имени и убеждает скачать вредоносный файл или поделиться личными данными.

Некоторые мошенники под видом работодателя убеждают жертву установить приложение якобы для отслеживания процесса работы. Историей с «БИЗНЕС Online» поделился один из татарстанцев, который хотел устроиться на работу тестировщиком. Правда, здесь уже не шло речи о незаметной краже данных. «В этот же день после снятия код-пароля высветилась блокировка с надписью „Найти мой iPhone“, а ниже сообщение: „Ваш iPhone заблокирован, для того чтобы его разблокировали, нужно написать в телеграм-канал“. Там отвечает человек и предлагает сумму, за которую он даст пароль от телефона, чтобы вернуть его в исходное состояние. В зависимости от версии Apple устройства цена варьируется», — рассказал он. В сервисном центре парню не помогли и отметили, что он не единственный посетитель с такой же проблемой. Пришлось покупать новый телефон.

«Насколько мне известно, это самый большой объем данных, который был выложен в сети. Возможно, есть еще, но мы его не видим. Скорее всего, эти данные получены „благодаря“ вирусам, которые занимаются как раз специализированной кражей данных. Они просто сидят у нас на компьютерах, ведут себя тихо, но смотрят, куда мы ходим, и забирают данные с клавиатуры. Как правило, это следствие отсутствия антивирусных программ на компьютере», — отмечает и руководитель компании LiveInternet, председатель совета фонда развития цифровой экономики, бывший советник президента РФ по интернету Герман Клименко.

Скорее всего, у утечки нет единого заказчика, отмечает он. Есть команды, которые пишут именно такой тип вирусов и предлагают свои услуги. «И покупатели уже приходят и говорят: „Нам нужна Россия, город Москва, посетители „Госуслуг“. Получили 200 тысяч записей, заплатили 200 тысяч рублей. Я не знаю настоящих цен там, но они не самые высокие. То есть собирается огромная база данных, готовых к продаже мелкими партиями. Просто такая разделенная история, и, видимо, накопились такие объемы, которые до нас дошли, а мы теперь сидим и думаем, что же со всем этим делать», — добавляет он.

Эксперт по информационной безопасности, сооснователь компании «Третья сторона» Антон Бочкарев указывает, что обычно такие данные просто так не выкладывают в открытый доступ: «Подобные сборы логинов и паролей, как правило, продаются за какие-то небольшие деньги, но массово. Для того чтобы использоваться в дальнейших атаках. Когда это появляется публично — это совсем другой вопрос. Скорее всего, по какой-то причине публикуют данные те, кто купил их ранее. Либо это делают для привлечения внимания к какой-либо, скажем так, группе и так далее», — указывает он.

«По оценкам экспертов, вероятность наличия ваших данных в этих сливах достаточно высока — особенно если вы не используете двухфакторную аутентификацию (2FA) и применяете одинаковые пароли на разных сайтах» Фото: ru.freepik.com

Что делать?

Для тех, у кого включена двухфакторная аутентификация, ничего страшного не случилось, отмечает Клименко. Но на всякий случай он и другие эксперты, опрошенные «БИЗНЕС Online», рекомендуют сменить пароль. «Наверное, идеально перезайти, перелогиниться в тех сервисах, которыми вы пользуетесь, и все-таки поставить антивирус. Самая неприятная вещь в том, что вирус ворует не пароль и логин, а сookies. И укравшие авторизацию в текущей сессии с другого компьютера могут зайти на те сайты, которые вы посещаете. И на этих сайтах злоумышленников признают как вас. И этот мошенник под вашим именем может что-то нехорошее сделать», — добавляет Клименко.

«Текущая информация о масштабной утечке данных все еще уточняется. Паниковать не стоит — подобные базы появляются и исследуются постепенно, причем большинство из них представляют собой не свежие утечки, а компиляции старых данных, — говорит руководитель центра информационной безопасности Университета Иннополис Михаил Серегин. — Чаще встречаются не столько утечки с онлайн-сервисов, сколько агрегации паролей, полученных с устройств через вредоносное ПО. Вполне вероятно, что текущая база данных паролей относится именно к этой категории. Тем не менее, по оценкам экспертов, вероятность наличия ваших данных в этих сливах достаточно высока — особенно если вы не используете двухфакторную аутентификацию (2FA) и применяете одинаковые пароли на разных сайтах». Помимо смены пароля, в качестве профилактики он отмечает, что проверить, утекли ли именно ваши данные, можно будет позже через специализированные сервисы: международный HaveIBeenPwned или российский Safe-surf.

«Высоки риски особенно для тех, кто использует один и тот же пароль в разных сервисах. Потому что, после того как этот пароль будет известен злоумышленникам, они смогут пытаться проверить пароль и на других сервисах. А люди зачастую забывают сменить пароль, скажем так, везде. Тем, у кого один пароль для всех сервисов, особо сложно будет проконтролировать смену паролей», — говорит сооснователь компании «Третья сторона» Бочкарев. Самый безопасный вариант — это использовать менеджер паролей и генерировать их случайным образом, добавляет он: «Даже в телефонах обычно предлагают сгенерировать безопасный пароль, который будет храниться в памяти телефона. Это наиболее безопасный вариант, потому что не нужно запоминать пароли, соответственно, не надо будет их менять. Если утечка произошла только с конкретного сервиса, просто можно будет легко поменять пароль именно в этом аккаунте и не переживать».

«Как правило, у нас, когда обновляют пароль, в конце меняют какую-нибудь циферку или буковку и считают, что пароль поменяли. Но есть роботы, которые наши пароли ищут в даркнете, то есть в помойках неактуальных паролей. И по 2–3 нашим паролям можно понять, какой у нас сейчас действующий. Поэтому не надо полагаться на такие вот глупости. Пароль должен быть стойким и отличаться от предыдущего», — отмечает эксперт по кибербезопасности Олег Седов.

Специалист пояснил, что существует категория граждан — «цифровые нигилисты», которые считают, что у них ничего нет и они никому не интересны. Но он напоминает, что у таких людей есть родственники, друзья, знакомые, которые могут быть более интересны в финансовом плане для злоумышленников, чем они сами. Со скомпрометированных ресурсов «цифровых нигилистов», их аккаунтов в «Телеграме» затем идет рассылка, призывы о помощи и прочие сообщения. Таким образом злоумышленники добиваются большего результата, чем если бы просто взломали аккаунт какой-то известной персоны. «Мы в ответе за тех, с кем общаемся в интернете, в онлайне. Мы же не живем в вакууме», — добавляет он.