24 milliárd rekord szivárgott ki: Miért nem ment meg a VPN-ed
A Cybernews kutatói felfedték az egyik legnagyobb, valaha talált védtelen adatbázist, amely 24 milliárd rekordot tartalmaz felhasználónevekkel, e-mail címekkel, titkosítatlan jelszavakkal és bejelentkezési URL-ekkel. Ez a több milliárd hitelesítő adatot érintő adatszivárgás nem hagyományos vállalati hackelés. Ez egy összeállított, nyíltan hozzáférhető lopott bejelentkezési adatkészlet, amely védelem nélkül hever az interneten, készen arra, hogy bárki kiaknázza, akinek megfelelő eszközei vannak. Ha úgy gondolod, hogy a VPN-előfizetésed megvéd az ilyen jellegű kitettségtől, a felfedezés részletei komoly újragondolásra késztethetnek.
Mit is tartalmaz valójában a 24 milliárd rekordot számláló adatbázis
Az adatbázis mérete nehezen felfogható. Huszonnégy milliárd rekord nem 24 milliárd egyedi érintett személyt jelent. Az ilyen összeállított szivárgási adatbázisok jellemzően több száz különálló adatszivárgás adatait gyűjtik össze sok év alatt, így ugyanazon személy hitelesítő adatai akár több tucatszor is előfordulhatnak különböző bejegyzésekben.
Ami ezt a konkrét kitettséget különösen veszélyessé teszi, az a titkosítatlan jelszavak jelenléte. Sok adatbázis hash-elt értékekként tárolja a jelszavakat, ami legalább némi akadályt képez az adatok felhasználása előtt. A titkosítatlan jelszavakhoz viszont semmilyen feltörési erőfeszítésre nincs szükség. Egy támadó egyszerűen fog egy felhasználónevet, párosítja a hozzá tartozó jelszóval, és azonnal megpróbál bejelentkezni.
Az adatbázisban megtalálhatók a bejelentkezési URL-ek is, vagyis az egyes hitelesítő adatokhoz kapcsolódó konkrét webcímek. Ezt a részletet gyakran alábecsülik. Ahelyett, hogy a támadónak egy e-mail-jelszó kombinációs listát kellene a megfelelő szolgáltatáshoz illesztenie, ez az adatbázis közvetlen térképet ad a kezébe: itt a fiók, itt a belépési pont, és itt a jelszó. Ez a fajta pontosság drasztikusan csökkenti a kiszivárgott rekord és a sikeres fiókátvétel közötti súrlódást.
Hogyan alakítja a credential stuffing a kiszivárgott jelszavakat fiókátvételekké
A credential stuffing a legfőbb módja annak, hogy az ehhez hasonló adatbázisok fegyverré váljanak. Automatizált eszközök hatalmas sebességgel pörgetik végig a felhasználónév-jelszó párokat, és több száz szolgáltatás bejelentkezési oldalán tesztelik őket egyidejűleg. Mivel sokan újrahasználják a jelszavaikat különböző fiókokban, egyetlen szolgáltatásból kiszivárgott hitelesítő adat akár teljesen más platformokon lévő fiókokat is megnyithat.
A bejelentkezési URL-ek jelenléte ebben az adatbázisban még ezt az automatizált lépést is hatékonyabbá teszi. A támadóknak nem kell találgatniuk, hogy az áldozat mely szolgáltatásokat használja. Az adatok elárulják. Egyetlen kiszivárgott rekord kompromittálhat egy bankszámlát, e-mail fiókot vagy vállalati VPN-portált, ha az áldozat ugyanazt a jelszót máshol is használta.
Ez nem elméleti kockázat. A credential stuffing támadásokat már összefüggésbe hozták pénzintézetek, streaming szolgáltatások, e-kereskedelmi platformok és vállalati rendszerek fiókátvételeivel. A rendelkezésre álló hitelesítőadat-mennyiség olyan szintre nőtt, hogy már viszonylag szerény erőforrásokkal rendelkező támadók is képesek nagy léptékben futtatni ezeket a kampányokat.
Érdemes azt is megjegyezni, hogy a közösségi manipulációs technikák a hitelesítőadat-lopással párhuzamosan fejlődnek. A támadók egyre gyakrabban kombinálják a kiszivárgott adatokat célzott adathalász kampányokkal. Ha egy ártó szereplő ismeri az áldozat e-mail címét, a hozzá tartozó szolgáltatást és a jelszót, az elegendő kontextust ad ahhoz, hogy meggyőző nyomon követő támadásokat készítsen, beleértve a mesterséges intelligenciával támogatott adathalász támadásokat is, amelyeket egyre nehezebb megkülönböztetni a valódi kommunikációtól.
Miért nem véd meg téged önmagában a VPN ettől a fenyegetéstől
A VPN titkosítja az internetes forgalmadat és elrejti az IP-címedet. Ez egy valóban hasznos adatvédelmi eszköz az átvitel közbeni adatok védelmére, különösen nyilvános hálózatokon. De a 24 milliárd rekordot tartalmazó adatbázis által jelentett fenyegetésnek semmi köze a forgalom lehallgatásához.
A hitelesítő adataid nem azért lopták el, amíg a hálózaton utaztak. Azokat egy olyan szolgáltatásból szerezték meg, ahová bejelentkeztél, ahol nem biztonságosan tárolták őket, és végül egy összeállított adatbázisba kerültek. Mire ez az adatbázis elérhetővé válik a támadók számára, a VPN-nek már nincs szerepe. A kár már a tárolás szintjén bekövetkezett, nem az átvitel szintjén.
Ez egy olyan kritikus különbségtétel, amely gyakran elsikkad a VPN-ek marketingjében és a róluk szóló beszélgetésekben. A VPN nem tudja megvédeni azokat az adatokat, amelyeket egy harmadik fél szolgáltatás rosszul tárolt. Nem tudja megakadályozni a credential stuffing támadásokat, amelyek évekkel ezelőtt létrehozott jelszavakat használnak. Nem tud figyelmeztetni, amikor az e-mail címed megjelenik egy kiszivárgott adatkészletben. Ezek a feladatok teljesen más eszközöket igényelnek.
Azonnali lépések: MFA, jelszókezelők és adatszivárgás-figyelés
A jó hír az, hogy a credential stuffing elleni védekezés jól ismert és elérhető. A kihívás az, hogy a legtöbb ember még nem vezette be teljes mértékben ezeket.
Kapcsold be a többfaktoros hitelesítést (MFA) mindenhol, ahol elérhető. Még ha egy támadó meg is szerzi a helyes felhasználóneved és jelszavad, az MFA egy második ellenőrzési lépést igényel, amelyet szinte biztosan nem tud teljesíteni. Az autentikátor alkalmazások biztonságosabbak, mint az SMS-alapú kódok, de mindkét lehetőség összehasonlíthatatlanul jobb, mintha egyáltalán nincs MFA. Először az e-mail fiókodat, a pénzügyi fiókjaidat és minden olyan szolgáltatást helyezz előtérbe, amely fizetési adatokat tárol.
Használj jelszókezelőt egyedi és összetett jelszavak generálásához és tárolásához. A jelszavak újrafelhasználása az, ami egyetlen kiszivárgott hitelesítő adatot több fiók kompromittálódásává változtat. A jelszókezelő leveszi a válladról annak terhét, hogy minden szolgáltatáshoz egyedi, bonyolult jelszavakat jegyezz meg. Ha az egyik adatszivárgásból származó hitelesítő adataid nem nyitnak meg másik fiókot, az egyetlen kitettségből származó kár behatárolható.
Ellenőrizd, hogy a hitelesítő adataid megjelentek-e ismert adatszivárgásokban. Számos megbízható adatszivárgás-figyelő szolgáltatás lehetővé teszi, hogy megadd az e-mail címed, és megnézd, szerepel-e ismert kiszivárgott adatkészletekben. Sok jelszókezelő már beépített funkcióként tartalmazza ezt a figyelést. Ennek az ellenőrzésnek a lefuttatása hasznos alapot ad a jelenlegi kitettséged megértéséhez.
Vizsgáld felül a meglévő fiókjaid. Keresd meg azokat a szolgáltatásokat, amelyeket már nem használsz, és töröld ezeket a fiókokat ahelyett, hogy egyszerűen magukra hagynád őket. Az elhagyott fiókok újrafelhasznált jelszavakkal kockázatot jelentenek. Minél kevesebb aktív fiókod van, annál kisebb a támadási felület.
Mit jelent ez számodra
A több milliárd kiszivárgott hitelesítő adat konkrét, jelen idejű fenyegetést jelent, nem pedig egy feltételezett jövőbeli kockázatot. Ha vannak olyan fiókjaid, amelyek a jó jelszóhigiénia bevezetése előttről származnak, azok a régi hitelesítő adatok már jelen lehetnek az ehhez hasonló adatbázisokban.
A megfelelő válasz nem az, hogy lemondasz a VPN használatáról vagy pánikba esel. Hanem az, hogy felismered: a magánszféra és a biztonság egymást kiegészítő eszközök együttesét igényli: VPN-t a forgalom védelmére, jelszókezelőt a hitelesítő adatok higiéniájához, MFA-t a fiókok hozzáférés-ellenőrzéséhez, és adatszivárgás-figyelést a tudatossághoz. Egyetlen eszköz sem fed le minden alapot.
Szakíts harminc percet ezen a héten, hogy átvilágítsd a biztonsági beállításaidat. Kapcsold be az MFA-t a legérzékenyebb fiókjaidon, futtass le egy adatszivárgás-ellenőrzést az elsődleges e-mail címeiden, és nézd át, használsz-e még mindig újra jelszavakat különböző szolgáltatások között. Ezek a lépések többet tesznek majd a fiókjaid védelmében egy 24 milliárd rekordos adatbázis következményeivel szemben, mint bármelyik önálló adatvédelmi eszköz.
