W minionych tygodniach ujawniono dwa duże wycieki danych. Pierwszy dotyczył informacji użytkowników Facebooka, drugi zawierał dane osób zarejestrowanych w serwisie LinkedIn. Łączy je nie tylko data oraz metoda ujawnienia (obie paczki danych zostały udostępnione pierwotnie na hakerskim forum RaidForums), ale też pokaźna liczba zgromadzonych rekordów.
Dane użytkowników Facebooka, opublikowane za darmo, obejmują 533 miliony osób pochodzących ze 106 krajów. W tym ponad 2,5 miliona Polaków, 11 milionów użytkowników pochodzących z Wielkiej Brytanii, 30 milionów Amerykanów i 7 milionów Australijczyków. Co ważne, nie jest to nowy wyciek danych. Facebook dawno naprawił lukę pozwalającą na pozyskanie danych, co wskazuje na to, że pochodzą one najprawdopodobniej z końca 2019 roku. Baza danych była dostępna od 2020 roku dla każdego, kto miał ochotę zapłacić za kopię całego zbioru. Teraz, w nieco zmodyfikowanej formie, została udostępniona za darmo. Co znajduje się w paczce z danymi? Nie ma tam ani danych dotyczących prywatnych wiadomości, ani haseł, czy też ich hashy. Znajdziemy tam natomiast: imię i nazwisko, numer telefonu, adres e-mail, płeć, zawód oraz ograniczone informacje o miejscu zamieszkania 533 milionów użytkowników Facebooka. Wyciek nastąpił w wyniku błędu w funkcjonalności importu kontaktów. Najprawdopodobniej atakujący wygenerowali miliardy fikcyjnych kontaktów posiadających kolejno generowane numery telefonów. Przy próbie importu spreparowanych kontaktów, interfejs aplikacji Facebooka odpowiadał danymi (zawartymi w upublicznionej bazie), jeśli numer telefonu był poprawny. Wszystkie rekordy pochodzące z wycieku zostały załadowane do bazy serwisu HaveIbeenPwned, dzięki czemu możemy łatwo sprawdzić, czy nasze dane zostały wykradzione.
Nie minął nawet tydzień od ujawnienia wycieku, gdy pojawiły się informacje o kolejnym. Na tym samym forum, na którym udostępniono dane użytkowników Facebooka, pojawił się plik zawierający 2 miliony profili pochodzących z serwisu LinkedIn. Jednocześnie, w poście sprzedający zapewnił, że ma do dyspozycji dane kolejnych 500 milionów kont, które udostępni każdemu, kto zapłaci czterocyfrową sumę w dolarach. LinkedIn poinformował, że wykradzione dane nie zawierają żadnych prywatnych informacji dotyczących użytkowników. Zestaw danych pochodzących z darmowej próbki potwierdza to stanowisko. Próbka zawiera: adresy e-mail, numery telefonów, płeć, tytuły zawodowe i inne dane dostępne publicznie w profilach użytkowników serwisu. Dane nie zawierają żadnych wrażliwych informacji, haseł ani numerów kart kredytowych. Zawierają tylko informacje widoczne w profilu LinkedIn, stąd wniosek że zostały najprawdopodobniej pozyskane w wyniku scrapingu. Scraping to technika, w której program komputerowy automatycznie pobiera dane udostępniane przez inny program bądź serwis. Hakerzy najpewniej po prostu „pobrali” publicznie dostępne dane, wykorzystując napisany przez siebie program automatycznie zbierający informacje.
Czy zatem nic się nie stało, skoro obie paczki danych nie zawierają żadnych informacji, które można by uznawać za poufne? Warto pamiętać, że nawet adres e-mail może wystarczyć kompetentnemu cyberprzestępcy do spowodowania poważnych szkód. Z tego powodu wiele narodowych zespołów reagowania na incydenty komputerowe wydało odpowiednie komunikaty, w których przypomniano o najczęściej występujących typach ataków związanych z wyciekiem takich danych. Zalicza się do nich między innymi: podszywanie się pod użytkownika w celu wysyłania innym złośliwych linków (próśb o przelewy pieniężne lub o wygenerowanie kodów jednorazowych np. BLIK). Wykorzystywanie pozyskanych danych użytkownika do przejęcia innych kont, na przykład przez resetowanie haseł przy użyciu pytań zabezpieczających, na które odpowiedź uzyskał atakujący, gromadząc dostępne publicznie dane osobowe.
Na ataki z wykorzystaniem udostępnionych w sieci danych z wycieków nie trzeba było czekać długo. W Polsce już po tygodniu pojawiły się liczne kampanie wyłudzeniowe. Przestępcy, wysyłając na pozyskane z wycieków numery telefonów SMSy z fałszywą informacją o oczekującej przesyłce bądź też konieczności uregulowania zaległej faktury czy rachunku za prąd, liczyli, że nieuważny odbiorca SMS kliknie umieszczony w wiadomości link. Link był oczywiście fałszywy i przygotowany jedynie w celu wyłudzenia środków finansowych. Na wzorowo spreparowane panele płatności, z których rzekomo możemy zalogować się na konto swojego banku lub zlecić płatność online, codziennie nabiera się wiele osób. Przestępcy przechwytują w ten sposób dane potrzebne do zalogowania się w serwisie bankowym, a ofiary tracą swoje oszczędności. W ciągu ostatniego roku CERT.PL (Computer Emergency Response Team) zablokował 32 tysiące domen wykorzystywanych w przestępstwach, takich jak opisane wyżej.
Podobny proceder miał miejsce w USA. Tu ostatnio dość często pojawiają się wiadomości, w których przestępcy podszywają się pod banki, podsyłając link mający zawierać nowy wyciąg z konta, na którym rzekomo pojawił się debet. Innym powszechnym rodzajem ataku jest podszywanie się pod popularne sklepy internetowe, takie jak Wallmart czy Amazon. Procedura w obu przypadkach jest podobna, link prowadzi do fałszywej strony, która do złudzenia przypomina stronę prawdziwego banku bądź bramkę płatności. Ofiara, logując się, udostępnia swoje dane dostępowe przestępcom.
Jak zatem bronić się przed złodziejami? Przede wszystkim należy zachować większą czujność, jeśli chodzi o podawanie danych osobowych w Internecie, cyberprzestępcy mogą wykorzystać je do przeprowadzania ukierunkowanego phishingu, a w konsekwencji do wyłudzeń i innych nieuczciwych działań. Przed kliknięciem jakiegokolwiek linku zweryfikujmy nazwę domeny, a jeśli nie jesteśmy pewni, sprawdźmy jej wiarygodność, używając wyszukiwarki.
Wiktor Sędkowski
Wiktor Sędkowski ukończył teleinformatykę na Politechnice Wrocławskiej, specjalizując się w dziedzinie bezpieczeństwa cybernetycznego. Jest ekspertem od zagrożeń cyfrowych. Posiadacz certyfikatu CISSP, OSCP i MCTS, pracował jako inżynier i solution architect dla wiodących firm informatycznych.
Niniejszy artykuł powstał w ramach działalności społeczno-misyjnej polskiego think tanku Warsaw Institute. Jeśli cenicie Państwo przygotowane przez naszych ekspertów treści, apelujemy o wsparcie finansowe naszej działalności realizowanej na zasadzie non-profit. Do regularnych darczyńców przysyłamy bezpłatnie anglojęzyczny kwartalnik The Warsaw Institute Review.
Więcej informacji: www.warsawinstitute.org/support/
Darowizny można dokonać bezpośrednio na konta bankowe:
USD: PL 82 1020 4900 0000 8502 3060 4017
EUR: PL 85 1020 4900 0000 8902 3063 7814
GBP: PL 18 1020 4900 0000 8302 3069 6641
PLN : PL 41 1020 1097 0000 7202 0268 6152
SWIFT: BPKOPLPW
Dziękujemy!
Cybercrime: Further Data Leaks
Two major databases have been leaked in the past weeks. The first one concerned Facebook users’ information, the second one contained data of LinkedIn users. These leaks share not only the date and method of disclosure (both sets of data were originally uploaded on RaidForums, a hacker forum), but also the fact that they included a considerable number of records.
Leaked data, which can be accessed free of charge, comprises 533 million Facebook users from 106 countries. Among them are over 2.5 million Poles, 11 million Britons, 30 million Americans and 7 million Australians. Importantly, this is not a new data leak. Facebook has patched the vulnerability which allowed to obtain that data a long time ago, indicating that it likely dates back to late 2019. Since 2020, the database was available to anyone who was willing to pay for a copy of the entire collection. Now, although slightly modified, it is available for free. What does it include? Not private messages, nor passwords or their hashes. Instead, we can find names and surnames, phone numbers, email addresses, genders, occupations and the place of residence of 533 million Facebook users. The leak occurred due to a bug in the contacts import feature. Most likely, attackers generated billions of fictitious profiles that sequentially generated phone numbers. When attempting to import fabricated contacts, the Facebook application interface returned data (included in the database that was made public) if the phone number was valid. All leaked records were uploaded to a database at the HaveIbeenPwned website, thanks to which we can easily verify whether our data has been stolen.
Less than a week after the first leak was announced, news broke about another one. A file containing 2 million LinkedIn profiles appeared on the same forum where Facebook user data was shared. At the same time, the seller who wrote the post assured possession of 500 million other accounts and offered to share them with anyone willing to pay a four-figure sum. LinkedIn reported that the stolen data did not contain any private information about users. The data set extracted from the sample available free of charge confirms this position – it included: email addresses, phone numbers, genders, job titles and other data that is publicly available online, on users’ profiles. The data did not comprise any sensitive information, passwords or credit card numbers. It only included information that was publicly available on LinkedIn profiles, hence it could be concluded that, most likely, it had been obtained through web scraping. This technique allows certain software to automatically extract data available from other software or websites. Presumably, the hackers simply “scraped” publicly available data with a computer program that they created to mechanically gather information.
Therefore, did nothing wrong happen if both data sets did not contain any information that could be considered confidential? It is worth remembering that being in possession of one’s email address could be enough for a competent cybercriminal to cause substantial damage. For this reason, many national Computer Incident Response Teams (CIRTs) have issued relevant announcements, reminding [6] of the most common types of attacks, related to the leak of such data. These include, but are not limited to: impersonation of a user in order to send malicious links (requests to transfer money or generate one-time passwords, e.g., the BLIK code), or using obtained user data to take over other accounts, for instance, resetting passwords by answering secret questions on the basis of personal information collected from publicly available sources.
Attacks conducted on the basis of the data leaked in the Internet occurred shortly afterwards. Multiple phishing campaigns were observed in Poland already after a week. Scammers sent SMS messages to phone numbers, obtained from leaked data, hoping that an inattentive recipient of a text would click on a link included in it. The messages contained false information such as notification about an awaiting package or a necessity to pay an overdue invoice or an electricity bill. Obviously, the link was a scam invented only to extort money. Every day a number of people fell for the exemplarily fabricated payment panels, from which we supposedly can log into our bank account or make an online payment. Fraudsters intercept data required to access banking services and victims lose their savings in this way. Last year, CERT.PL (Computer Emergency Response Team) blocked 32,000 domains used for offences such as the ones described above.
Similar practices took place in the USA where a number of messages, in which fraudsters impersonated banks by sending a link that was supposed to be a new bank statement with an alleged overdraft, have been circulating lately. Another common type of attack involves impersonating popular online stores, such as Walmart or Amazon. The procedure is similar in both cases – a link leads to a fake website which looks just like the page of a real bank or a payment gateway. When logging in, the victim provides its access data to the scammers.
Consequently, how to defend against thieves? First of all, by being more vigilant when it comes to providing personal information on the Internet. Cybercriminals can use it to carry out spear phishing and, accordingly, for fraudulent and other corrupt practices. Before clicking on any link, let us verify the domain, or, if still in doubt, check its credibility by using a search engine.
Author: Wiktor Sędkowski
Wiktor Sędkowski graduated in Teleinformatics at the Wrocław University of Science and Technology, specialized in cybersecurity field. He is an expert on cyber threats. CISSP, OSCP and MCTS certificates holder. Worked as an engineer and solution architect for leading IT companies.
