Nutekinimą atskleidę tyrėjai teigė, kad ši informacija gali leisti įsilaužėliams atakuoti bet kokią sistemą, kuri nėra apsaugota griežta saugumo programine įranga, įskaitant internetines ir neinternetines paslaugas, internetines kameras ir pramoninę įrangą.
Tai gali paskatinti duomenų apsaugos pažeidimų, finansinio sukčiavimo ir tapatybės vagysčių bangą naudojant slaptažodžius, kurie buvo surinkti iš daugiau nei 4 tūkst. duomenų bazių per pastaruosius du dešimtmečius.
Nutekinta daugiau nei 2 mlrd. slaptažodžių
Įsilaužimą tyrę „Cybernews“ tyrėjai teigė, kad nusikaltėlis pasivadino „ObamaCare“ vardu.
Paaiškėjo, kad asmuo naudojosi 8,4 mlrd. slaptažodžių iš ankstesnio 2021 m. paskelbto nusikaltimų forumo.
Tačiau iš 2021–2024 m. įrašų buvo gauta dar 1,5 mlrd. naujų slaptažodžių.
„Šiemet Kalėdos atėjo anksti, – forume rašė „ObamaCare“. – Pateikiu jums naują „Rockyou2024“ slaptažodžių sąrašą su daugiau kaip 9,9 mlrd. slaptažodžių“.
Įsilaužėlis pridūrė, kad „taip pat nulaužė keletą senų slaptažodžių, naudodamas itin aukštos klasės 4090 „Nvidia“ vaizdo plokštę, kurioje buvo „tikri nauji naudotojų slaptažodžiai“.
Failas buvo paskelbtas 45,6 gigabaito .zip archyve, kuriame panaudoti nutekinti įrašai iš tokių svetainių kaip „X“, „AdultFriendFinder“, „MyFitnessPal“, „LinkedIn“, „Adobe“, „Badoo“ ir kt.
Du didžiausio poveikio prekių ženklai yra Kinijoje įsikūrusios bendrovės, kurios gerokai lenkia kitas interneto bendroves.
Tarp jų – 1,5 mlrd. iš „Tencent“ – interneto paslaugas teikiančios technologijų bendrovės – ir 504 mln. iš socialinių tinklų platformos „Weibo“.
Susisiekė su įsilaužėliu
„RockYou2024“ nutekinimas yra realaus pasaulio slaptažodžių, kuriuos naudoja asmenys visame pasaulyje, rinkinys, – sakė tyrėjai. – Atskleidus tiek daug slaptažodžių grėsmių dalyviams, gerokai padidėja įgaliojimų klastojimo atakų rizika“.
Įgaliojimų iškraipymas įvyksta, kai įsilaužėliai naudoja slaptažodį, gautą iš vieno duomenų nutekėjimo, kad prisijungtų prie nesusijusios paslaugos. Pavyzdžiui, naudodami slaptažodį, gautą iš „AT&T“ nutekėjimo, kad patikrintų, ar asmuo naudoja tą patį slaptažodį savo banko sąskaitai.
„Cybernews“ sakė „Forbes“, kad jų tyrėjai susisiekė su įsilaužėliu ir stengiasi ištirti duomenų rinkinius ir maždaug „30 gigabaitų kombinuotųjų sąrašų, iš kurių buvo ištraukti duomenys“.
Turite kuo skubiau pasitikrinti ir imtis duomenų apsaugojimo priemonių
Vartotojai gali patikrinti, ar jų slaptažodis buvo nutekintas, apsilankę „Cybernews“ svetainėje ir įvedę savo slaptažodį.
Kaip prevencinę priemonę naudotojai turėtų nedelsdami iš naujo nustatyti nutekėjusius visų paskyrų slaptažodžius ir pasirinkti stiprius, unikalius derinius, kurie nenaudojami keliose platformose.
Jie taip pat turėtų įjungti kelių faktorių autentifikavimą, kuris suteikia antrą saugumo lygį, nes, be slaptažodžio, reikalauja patvirtinimo, pavyzdžiui, veido atpažinimo arba PIN kodo.
„Tikrai nėra pasiteisinimo nenaudoti unikalių slaptažodžių kiekvienoje paskyroje, nes duomenų saugumo pažeidimų, deja, vis daugėja ir daugėja, – „Forbes“ teigė Jake‘as Moore‘as, pasaulinis saugumo bendrovės ESET kibernetinio saugumo patarėjas. – Laimei, slaptažodžių tvarkyklėmis naudotis ir jas įdiegti į kasdienį gyvenimą yra lengviau nei bet kada anksčiau. Be to, jie siūlo sudėtingą slaptažodžių kūrimo dalį ir saugų šių sudėtingų kodų saugojimą“.
