24 δισεκατομμύρια εκτεθειμένες εγγραφές: Γιατί το VPN σας δεν θα σας σώσει

24 δισεκατομμύρια εκτεθειμένες εγγραφές: Γιατί το VPN σας δεν θα σας σώσει

Ερευνητές του Cybernews ανακάλυψαν μία από τις μεγαλύτερες απροστάτευτες βάσεις δεδομένων που έχουν βρεθεί ποτέ, περιέχοντας 24 δισεκατομμύρια εγγραφές με ονόματα χρήστη, διευθύνσεις email, κωδικούς πρόσβασης σε απλό κείμενο και URL σύνδεσης. Αυτή η παραβίαση δεδομένων με τα δισεκατομμύρια εκτεθειμένων διαπιστευτηρίων δεν είναι μια εταιρική επίθεση hacking με την παραδοσιακή έννοια. Πρόκειται για ένα συγκεντρωμένο, ανοιχτά προσβάσιμο απόθεμα κλεμμένων στοιχείων σύνδεσης που βρίσκεται απροστάτευτο στο διαδίκτυο, έτοιμο προς εκμετάλλευση από οποιονδήποτε διαθέτει τα κατάλληλα εργαλεία. Εάν νομίζετε ότι η συνδρομή σας σε VPN σάς προστατεύει από αυτού του είδους την έκθεση, οι λεπτομέρειες αυτής της ανακάλυψης θα πρέπει να σας οδηγήσουν σε σοβαρή αναθεώρηση.

Τι περιέχει πραγματικά η βάση δεδομένων των 24 δισεκατομμυρίων εγγραφών

Η κλίμακα αυτής της βάσης δεδομένων είναι δύσκολο να γίνει αντιληπτή. Είκοσι τέσσερα δισεκατομμύρια εγγραφές δεν σημαίνουν ότι επηρεάστηκαν 24 δισεκατομμύρια μοναδικοί άνθρωποι. Σύνθετες βάσεις δεδομένων διαρροών όπως αυτή συνήθως συγκεντρώνουν δεδομένα από εκατοντάδες ξεχωριστές παραβιάσεις κατά τη διάρκεια πολλών ετών, πράγμα που σημαίνει ότι τα διαπιστευτήρια του ίδιου ατόμου μπορεί να εμφανίζονται δεκάδες φορές σε διαφορετικές καταχωρίσεις.

Αυτό που καθιστά τη συγκεκριμένη έκθεση ιδιαίτερα επικίνδυνη είναι η παρουσία κωδικών πρόσβασης σε απλό κείμενο. Πολλές βάσεις δεδομένων αποθηκεύουν τους κωδικούς ως κατακερματισμένες τιμές (hashes), γεγονός που τουλάχιστον δημιουργεί ένα εμπόδιο πριν μπορέσουν να χρησιμοποιηθούν. Οι κωδικοί σε απλό κείμενο δεν απαιτούν καμία προσπάθεια «σπασίματος». Ένας επιτιθέμενος μπορεί να πάρει ένα όνομα χρήστη, να το συνδυάσει με τον αντίστοιχο κωδικό και να επιχειρήσει να συνδεθεί άμεσα.

Στη βάση δεδομένων περιλαμβάνονταν επίσης URL σύνδεσης, οι συγκεκριμένες διευθύνσεις ιστού που συνδέονται με κάθε σετ διαπιστευτηρίων. Αυτή η λεπτομέρεια υποτιμάται. Αντί για μια λίστα συνδυασμών email-κωδικού που ο επιτιθέμενος πρέπει στη συνέχεια να αντιστοιχίσει στη σωστή υπηρεσία, αυτή η βάση δεδομένων τού δίνει έναν άμεσο χάρτη: ορίστε ο λογαριασμός, ορίστε πού να συνδεθείτε και ορίστε ο κωδικός πρόσβασης. Αυτό το επίπεδο ακρίβειας μειώνει δραματικά την απόσταση ανάμεσα σε μια διαρρεύσασα εγγραφή και μια επιτυχημένη κατάληψη λογαριασμού.

Πώς η μέθοδος credential stuffing μετατρέπει τους διαρρεύσαντες κωδικούς σε καταλήψεις λογαριασμών

Το credential stuffing είναι ο κύριος τρόπος με τον οποίο βάσεις δεδομένων όπως αυτή μετατρέπονται σε όπλο. Αυτοματοποιημένα εργαλεία δοκιμάζουν ζεύγη ονόματος χρήστη-κωδικού με τεράστια ταχύτητα, ελέγχοντάς τα σε σελίδες σύνδεσης εκατοντάδων υπηρεσιών ταυτόχρονα. Επειδή πολλοί άνθρωποι επαναχρησιμοποιούν κωδικούς πρόσβασης σε διάφορους λογαριασμούς, ένα διαπιστευτήριο που διέρρευσε από μία υπηρεσία μπορεί να ξεκλειδώσει λογαριασμούς σε εντελώς διαφορετικές πλατφόρμες.

Η παρουσία των URL σύνδεσης σε αυτή τη βάση δεδομένων καθιστά ακόμα και αυτό το αυτοματοποιημένο βήμα πιο αποδοτικό. Οι επιτιθέμενοι δεν χρειάζεται να μαντέψουν ποιες υπηρεσίες χρησιμοποιεί το θύμα. Τα δεδομένα τούς το λένε. Μία και μόνο εκτεθειμένη εγγραφή θα μπορούσε να μεταφραστεί σε παραβιασμένο τραπεζικό λογαριασμό, γραμματοκιβώτιο email ή εταιρική πύλη VPN, αν το θύμα είχε επαναχρησιμοποιήσει αυτόν τον κωδικό αλλού.

Αυτός δεν είναι θεωρητικός κίνδυνος. Επιθέσεις credential stuffing έχουν συνδεθεί με καταλήψεις λογαριασμών σε χρηματοπιστωτικά ιδρύματα, υπηρεσίες streaming, πλατφόρμες ηλεκτρονικού εμπορίου και εταιρικά συστήματα. Ο όγκος των διαθέσιμων δεδομένων διαπιστευτηρίων έχει αυξηθεί σε σημείο που ακόμη και επιτιθέμενοι με μέτριους πόρους μπορούν να διεξάγουν αυτές τις εκστρατείες σε μεγάλη κλίμακα.

Αξίζει επίσης να σημειωθεί ότι οι τεχνικές κοινωνικής μηχανικής εξελίσσονται παράλληλα με την κλοπή διαπιστευτηρίων. Οι επιτιθέμενοι συνδυάζουν όλο και περισσότερο διαρρεύσαντα δεδομένα με στοχευμένες εκστρατείες phishing. Το να γνωρίζει ένας κακόβουλος παράγοντας τη διεύθυνση email του θύματος, τη σχετική υπηρεσία και τον κωδικό πρόσβασης, του δίνει αρκετό πλαίσιο ώστε να δημιουργήσει πειστικές επιθέσεις παρακολούθησης, συμπεριλαμβανομένων συστημάτων phishing με τη βοήθεια Τεχνητής Νοημοσύνης που γίνονται όλο και πιο δύσκολο να διακριθούν από νόμιμες επικοινωνίες.

Γιατί ένα VPN από μόνο του δεν θα σας προστατεύσει από αυτή την απειλή

Ένα VPN κρυπτογραφεί την κίνησή σας στο διαδίκτυο και αποκρύπτει τη διεύθυνση IP σας. Είναι ένα πραγματικά χρήσιμο εργαλείο προστασίας της ιδιωτικότητας για την προστασία των δεδομένων κατά τη μεταφορά, ιδίως σε δημόσια δίκτυα. Όμως η απειλή που θέτει αυτή η βάση δεδομένων των 24 δισεκατομμυρίων εγγραφών δεν έχει καμία σχέση με την υποκλοπή κίνησης.

Τα διαπιστευτήριά σας δεν εκλάπησαν ενώ ταξίδευαν μέσα σε ένα δίκτυο. Αφαιρέθηκαν από μια υπηρεσία στην οποία συνδεθήκατε, αποθηκεύτηκαν χωρίς ασφάλεια και τελικά συγκεντρώθηκαν σε μια σύνθετη βάση δεδομένων. Μέχρι τη στιγμή που αυτή η βάση δεδομένων γίνεται διαθέσιμη στους επιτιθέμενους, το VPN σας δεν έχει κανέναν ρόλο να παίξει. Η ζημιά έχει ήδη γίνει στο επίπεδο της αποθήκευσης, όχι στο επίπεδο της μετάδοσης.

Αυτή είναι μια κρίσιμη διάκριση που συχνά χάνεται στον τρόπο με τον οποίο προωθούνται και συζητούνται τα VPN. Ένα VPN δεν μπορεί να προστατεύσει δεδομένα που μια τρίτη υπηρεσία αποθήκευσε πλημμελώς. Δεν μπορεί να αποτρέψει επιθέσεις credential stuffing που χρησιμοποιούν κωδικούς πρόσβασης που δημιουργήσατε πριν από χρόνια. Δεν μπορεί να σας ειδοποιήσει όταν το email σας εμφανίζεται σε ένα σύνολο δεδομένων που έχει διαρρεύσει. Αυτές είναι δουλειές για εντελώς διαφορετικά εργαλεία.

Άμεσα βήματα: MFA (έλεγχος ταυτότητας πολλαπλών παραγόντων), διαχειριστές κωδικών πρόσβασης και παρακολούθηση παραβιάσεων

Τα καλά νέα είναι ότι οι άμυνες κατά του credential stuffing είναι καλά κατανοητές και προσβάσιμες. Η πρόκληση είναι ότι οι περισσότεροι άνθρωποι δεν τις έχουν εφαρμόσει πλήρως.

Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) παντού όπου προσφέρεται. Ακόμα κι αν ένας επιτιθέμενος έχει το σωστό όνομα χρήστη και κωδικό πρόσβασης, το MFA απαιτεί ένα δεύτερο βήμα επαλήθευσης που σχεδόν σίγουρα δεν μπορεί να ολοκληρώσει. Οι εφαρμογές authenticator είναι πιο ασφαλείς από τους κωδικούς μέσω SMS, αλλά οποιαδήποτε από τις δύο επιλογές είναι απείρως καλύτερη από την παντελή έλλειψη MFA. Δώστε προτεραιότητα στον λογαριασμό email σας, στους χρηματοοικονομικούς λογαριασμούς και σε κάθε υπηρεσία που αποθηκεύει στοιχεία πληρωμής.

Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης για να δημιουργείτε και να αποθηκεύετε μοναδικούς κωδικούς. Η επαναχρησιμοποίηση κωδικών είναι αυτό που μετατρέπει ένα μεμονωμένο διαρρεύσαν διαπιστευτήριο σε παραβίαση πολλαπλών λογαριασμών. Ένας διαχειριστής κωδικών πρόσβασης αφαιρεί το γνωστικό βάρος της απομνημόνευσης μοναδικών, πολύπλοκων κωδικών για κάθε υπηρεσία. Αν τα διαπιστευτήριά σας από μία παραβίαση δεν μπορούν να ξεκλειδώσουν κανέναν άλλο λογαριασμό, η ζημιά από μία μεμονωμένη έκθεση περιορίζεται.

Ελέγξτε αν τα διαπιστευτήριά σας έχουν εμφανιστεί σε γνωστές παραβιάσεις. Αρκετές αξιόπιστες υπηρεσίες παρακολούθησης παραβιάσεων σάς επιτρέπουν να εισάγετε τη διεύθυνση email σας και να δείτε αν έχει εμφανιστεί σε γνωστά σύνολα δεδομένων που έχουν διαρρεύσει. Πολλοί διαχειριστές κωδικών πρόσβασης περιλαμβάνουν πλέον αυτή την παρακολούθηση ως ενσωματωμένο χαρακτηριστικό. Η διενέργεια αυτού του ελέγχου είναι μια χρήσιμη βάση για την κατανόηση της τρέχουσας έκθεσής σας.

Ελέγξτε τους υπάρχοντες λογαριασμούς σας. Αναζητήστε υπηρεσίες που δεν χρησιμοποιείτε πλέον και διαγράψτε αυτούς τους λογαριασμούς αντί απλώς να τους εγκαταλείψετε. Οι ανενεργοί λογαριασμοί με επαναχρησιμοποιημένους κωδικούς αποτελούν υποχρέωση-ευπάθεια. Λιγότεροι ενεργοί λογαριασμοί σημαίνουν μικρότερη επιφάνεια επίθεσης.

Τι σημαίνει αυτό για εσάς

Τα δισεκατομμύρια διαπιστευτηρίων που εκτέθηκαν σε αυτή την παραβίαση δεδομένων αντιπροσωπεύουν μια συγκεκριμένη, παρούσα απειλή και όχι έναν υποθετικό μελλοντικό κίνδυνο. Αν έχετε λογαριασμούς που προϋπήρχαν της υιοθέτησης καλής υγιεινής κωδικών πρόσβασης, αυτά τα παλιά διαπιστευτήρια μπορεί να βρίσκονται ήδη σε βάσεις δεδομένων όπως αυτή.

Η σωστή αντίδραση δεν είναι να εγκαταλείψετε τη χρήση VPN ή να πανικοβληθείτε. Είναι να αναγνωρίσετε ότι η ιδιωτικότητα και η ασφάλεια απαιτούν μια στοίβα συμπληρωματικών εργαλείων: ένα VPN για την προστασία της κίνησης, έναν διαχειριστή κωδικών πρόσβασης για την υγιεινή των διαπιστευτηρίων, MFA για τον έλεγχο πρόσβασης στους λογαριασμούς και παρακολούθηση παραβιάσεων για επίγνωση. Κανένα μεμονωμένο εργαλείο δεν καλύπτει όλες τις βάσεις.

Αφιερώστε τριάντα λεπτά αυτή την εβδομάδα για να ελέγξετε τη ρύθμιση ασφαλείας σας. Ενεργοποιήστε το MFA στους πιο ευαίσθητους λογαριασμούς σας, εκτελέστε έναν έλεγχο παραβίασης στις κύριες διευθύνσεις email σας και εξετάστε αν εξακολουθείτε να επαναχρησιμοποιείτε κωδικούς πρόσβασης σε διαφορετικές υπηρεσίες. Αυτά τα βήματα θα κάνουν περισσότερα για να προστατεύσουν τους λογαριασμούς σας από τις συνέπειες μιας βάσης δεδομένων 24 δισεκατομμυρίων εγγραφών από οποιοδήποτε μεμονωμένο εργαλείο προστασίας της ιδιωτικότητας μόνο του.