Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Ogromny wyciek czy wydmuszka? Co wiemy o ostatnim incydencie z milionami polskich haseł

31 maja 2023, 16:12 | W biegu | komentarzy 13

Obserwujemy trochę skrajnych podejść jeśli chodzi o temat, który jako pierwszy opisała Z3S. Tutaj możesz sprawdzić czy Twoje dane znalazły się w wycieku.

Rzeczywiście w sieci pojawiła się duża baza (czy raczej plik) zwierający dane należące w dużej mierze do polskich użytkowników (m.in. adresy / loginy / hasła). Warto jednak podkreślić, że baza powstała w wyniku działania malware / wirusa (czy będąc bardziej precyzyjnym – stealera). Przy okazji warto spojrzeć na krótką relację z 2022 roku, gdzie pisaliśmy o innym dumpie (z którego zostały wyłuskane dane logowania do domen gov.pl)

Wracając do oryginalnego wycieku – w kontekście ofiar mamy dobre i złe wieści.

Dobra: jeśli w bazie widnieje np. adres należący do x-kom.pl, wcale automatem nie oznacza to, że mieliśmy masowy wyciek z tego sklepu (AKA ktoś zhackował x-kom). Wręcz przeciwnie, biorąc pod uwagę charakter obecnego 'dumpa’ szansa, że doszło do dużego hacku serwisu (i dane z niego są w tym dumpie) jest raczej nikła.

Apropos x-komu – tutaj stosowne oświadczenie samej firmy.

Zła strona: jeśli logowałeś się np. do x-kom.pl i Twoje dane znajdują się w dumpie, powinieneś mieć pewne powody do niepokoju. Być może na Twoim komputerze działa wcześniej wspomniany malware i cały czas kradnie Twoje hasła? Inna możliwość – zalogowałeś się na komputerze kolegi lub (o zgrozo) publicznym komputerze, gdzie działa(ł) malware. Używasz tego samego hasła w wielu różnych miejscach? Ponownie: możesz mieć problem, bo atakujący mogą „na głupiego” próbować wyciekniętą parę login/hasło gdziekolwiek.

Może być również tak, że pracownik firmy X (pojawiającej się w dumpie) stworzył konto w zupełnie zewnętrznym serwisie (dla odmiany załóżmy niech będzie to Facebook) i użył tam firmowego adresu e-mail. Znowu – być może zakładanie konta było realizowane z domowego komputera (gdzie działa malware). Niby „luzik”, ale co jeśli taki użytkownik ma dostęp do sieci korporacyjnej (poprzez VPN)? A może takie konto było założone z firmowego komputera? (wtedy trzeba założyć, że stealer działa w naszej infrastrukturze IT).

Jeszcze inny wariant – wyciekło hasło do jednego z paneli administracyjnych aplikacji należących do firmy X.

Jak widać scenariuszów jest tutaj sporo, a jeśli nałożyć spory przedział dat, w trakcie których najprawdopodobniej dump był realizowany (w dumpie widać np. trochę „fraz” 2017 i „starszych) – to w ogóle mamy niezły bigos.

W skrócie nie ma tutaj prostej, zerojedynkowej odpowiedzi na zasadzie – „luzik, małe ryzyko”, czy „ooo moja firma jest w wycieku – makabra”. Tzn. taka odpowiedź jest do uzyskania, ale wymaga to trochę zachodu.

Na koniec warto zaznaczyć, że tym razem nie zadziała zasada – „stosuj silne hasła”. Nie ważne jak złożone hasło mamy – stealer takie hasło jest w stanie wyciągnąć z naszego komputera (jeśli je wpisujemy, bądź mamy gdzieś zapisane).

Na pewno pomoże jednak dwuczynnikowe uwierzytelnienie – tj. jeśli ktoś posiada Twój login/hasło (np. do Facebooka) to i tak się nie zaloguje.

Jak z kolei bronić się przed malware / stealerami?

  1. Nie pracuj z uprawnieniami administratora
  2. Miej zainstalowanego ad blockera w przeglądarce (patrz też: Nasz czytelnik wygooglał pakiet instalacyjny Gimpa. Trafił na fejkową reklamę, zainfekował komputer i stracił dostęp do konta Google)
  3. Aktualizuj używane oprogramowanie.
  4. Uważaj z jakiego miejsca pobierasz / instalujesz oprogramowanie.
  5. Uważaj na emaile phishingowe zawierające załączniki lub sugerujące pobranie / zainstalowanie plików na Twoim komputerze
  6. Posiadaj aktualne oprogramowanie antywirusowe (instalowane oprogramowanie możesz również spróbować sprawdzić w serwisie virustotal.com).

To tylko kilka przykładów. Przy okazji odsyłam również np. do dokumentu 18 CIS Critical Security Controls (rozdział 10 – Malware Defenses).

Czy stealer może wykraść dane z password managera? To zależy od stealera (więcej informacji np. tutaj czy tutaj).

No dobra, ale czy to jest wyciek czy nie? Formalnie i realnie jest. Tylko jest to przede wszystkim wyciek z komputerów użytkowników a nie masowy wyciek z konkretnych firm / serwisów.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Robert

    ViperSoftX wygląda dość przerażająco. szczególnie biorąc pod uwagę że to początek rozwoju takich narzędzi. Może przestawcie własne wnioski, sugestie, zalecenia ?

    Odpowiedz
  2. Piotr

    Odnośnie obrony ja bym jeszcze dodał, że poza zainstalowaniem blokera jak ublock ważne jest też dodanie odpowiednich filtrów (np CERT). Poza blokerem reklam używam też malwarebytes browser guard, też nie raz w porę zablokuje ładowanie nieodpowiedniej strony :)

    Odnośnie weryfikacji dwuetapowej, to niestety dalej w wielu miejscach nie da się jej włączyć, ba NAWET NIE WSZYSTKIE BANKI ją mają przykład – PEKAO, Mileenium, Citi Handlowy nie mają możliwości włączenia 2FA przy logowaniu. Tak samo jakieś ZUS-y, E-Sądy itd. Dają dostęp do masy danych, ale w żaden sposób tego nie zabezpieczają. Np po zalogowaniu do PEKAO (który nie ma 2FA do logowania) można wejść w zakładkę e-dokumenty i pobrać całą umowę z Bankiem (również bez dodatkowej autoryzacji), a tam są wszystkie dane od peseli, numerów dowodów przez nazwiska rodowego po numery tel i produkty bankowe. I jak tu się zabezpieczyć jak same instytucje tego nie umożliwiają ?

    Odpowiedz
    • sesyon

      Można również używać Quad9 (dns), który zawiera listę CERT oraz Bitdefender Trafficlight.

      W ZUS można się zablokować a następnie odblokowac i logować się za pomocą Profilu Zaufanego/banku.

      Niektóre banki/firmy częściowo maskują wrażliwe dane dostępne w serwisach interneowych (dane z dowodu, email, telefon, adres itp) np. 12* *** *89. Moim zdaniem to bardzo dobra praktyka. W końcu użytkownik zna swoje dane i wystarczy odsłonić tylko tyle aby miał pewnośc, że są aktualne.
      Niestey taki mBank w jednej zakładce częściowo maskuje serię i numer dowodu czy telefon a w innej pokazuje całe wartości.

      Odpowiedz
  3. Adam

    Ok, ale rozumiem, że to wina jakiegoś rozszerzenia? ale jakiego?

    Odpowiedz
  4. Zygmunt

    Wreszcie sensowniejszy wpis na temat tej publikacji zbioru danych uwierzytelniających. We wcześniejszych publikacjach nawet wylono ilość linii pliku z ilością haseł i identyfikatorów użytkownika w tym pliku.

    Ostatnio modny jest pogląd, jakoby wymuszona zmiana haseł jest zła. Trochę mnie rozbraja jego wytłumaczenie: jeśli ludzie nie muszą zmieniać haseł, to stosują mocniejsze. Z moich doświadczeń (a analizowałem już większe bazy haseł) nic bardziej mylnego – jedyne efekt to stosowanie tych samych haseł w wielu serwisach, co tylko pogarsza sytuację.

    Ta publikacja zbioru haseł (konsekwentnie – nie wiedzieć czemu – nazywana wyciekiem) to chyba konkretny dowód na to, że jednak rotacja haseł ma pewien sens.

    Pomija się też fakt, że to jest zbiór haseł z różnych źródeł. Są tu pewnie hasła ze stealerów, ale też z phishingów i pozyskane innymi technikami. Dlatego skupianie się na tych nieszczęsnych przeglądarkach i menedżerach haseł odwraca uwagę od innych istotnych problemów.

    Odpowiedz
  5. Daniel

    Polecicie dobrą bazę do Pihole? Niby mam 1mil domen na liscie ale może macie jeszcze coś dobrego? :D

    Odpowiedz
  6. Andrzej

    „1. Nie pracuj z uprawnieniami administratora”
    Okej, ale tyczy się to tylko „wbudowanego konta administratora”, czy również wszelkich utworzonych kont pracujących z prawami administratora?

    Odpowiedz
  7. Holdmybeerandwatch

    To jakiś zlepek przeróżnych wycieków. Znalazłem swoje dane logowania, które zmieniłem z 4 lata temu, gdy zdechł mi pc i logowaniem się z lapka, który faktycznie był zainfekowany.

    Odpowiedz
  8. zxcv

    Pytanie do punktu 6 (Posiadaj aktualne oprogramowanie antywirusowe). Czy na linuxa też jest potrzebne oprogramowanie antywirusowe? Różnie piszą w internecie. Jeśli tak to czy coś polecacie?

    Odpowiedz
    • Adam

      A dlaczego by nie trzeba było? sam fakty posiadania mnie popularnego (na desktopach) OS-a nie daje nietykalności, mniejsza siłą rażenia = mniej wirusów bo się nie opłaca ich pisać ale to nie znaczy że nie ma, a jak ktoś ma rolę sudo bez wymaganego hasła to jest to prawie tożsame do pracy na roocie :D Ogólne zasady są te same, tylko inna ich realizacja.

      Odpowiedz
      • zxcv

        Na tych stronach jest ten sam tekst i jest tam napisane, że prawdopodobnie nie jest potrzebny („Anti-virus software does exist for Linux, but you probably don’t need to use it.”)
        https://help.ubuntu.com/stable/ubuntu-help/net-antivirus.html.en
        https://help.gnome.org/users/gnome-help/stable/net-antivirus.html.en

        Tutaj jest napisane, że używanie antywirusa nie jest konieczne („Używanie programu antywirusowego nie jest konieczne tak jak w innym systemie, jeśli jednak chcesz go używać to możesz użyć, np. programu ClamAV, który dostępny jest w większości dystrybucji linuksowych.”)
        https://linuxiarze.pl/bezpieczenstwo_antywirus/

        Ogólnie jak szukam czegoś na ten temat to w niektórych miejscach ludzie piszą, że trzeba, a w innych że nie trzeba. Mam takie wrażenie, że jednak więcej osób pisze, że nie trzeba.

        Czy polecasz / używasz jakiegoś antywirusa na linuxie skoro napisałeś, że trzeba?

        Odpowiedz
        • Białoszewski

          Antywirus w dzisiejszych czasach nazywa się EDR :)
          Wpisz „Linux EDR” i kliknij w link prowadzący od Gartnera.

          Odpowiedz

Odpowiedz