Викрито 24 мільярди записів: чому ваш VPN вас не врятує

Викрито 24 мільярди записів: чому ваш VPN вас не врятує

Дослідники Cybernews виявили одну з найбільших незахищених баз даних, які коли-небудь було знайдено, що містить 24 мільярди записів з іменами користувачів, адресами електронної пошти, паролями у відкритому вигляді та URL-адресами для входу. Цей витік мільярдів облікових даних не є традиційним зламом корпорації. Це скомпільована, відкрито доступна колекція вкрадених даних для входу, яка лежить в інтернеті без жодного захисту, готова до використання будь-ким, хто має відповідні інструменти. Якщо ви вважаєте, що передплата на VPN захищає вас від такого роду викриттів, деталі цього відкриття мають змусити серйозно переосмислити ситуацію.

Що насправді містить база даних на 24 мільярди записів

Масштаб цієї бази даних важко усвідомити. 24 мільярди записів не означає, що постраждало 24 мільярди унікальних людей. Скомпільовані бази витоків, як ця, зазвичай об’єднують дані з сотень окремих зламів за багато років, тож облікові дані однієї людини можуть траплятися десятки разів у різних записах.

Особливу небезпеку цього викриття становить наявність паролів у відкритому вигляді. У багатьох базах даних паролі зберігаються у хешованому вигляді, що принаймні створює перешкоду перед використанням даних. Паролі у відкритому вигляді не потребують жодних зусиль для зламу. Зловмисник може взяти ім’я користувача, поєднати його з відповідним паролем і спробувати увійти негайно.

До бази даних також увійшли URL-адреси для входу – конкретні вебадреси, пов’язані з кожним набором облікових даних. Цю деталь часто недооцінюють. Замість списку комбінацій email-пароль, до яких зловмиснику потрібно ще підбирати правильний сервіс, ця база даних дає йому пряму карту: ось обліковий запис, ось куди входити, ось пароль. Такий рівень конкретики різко зменшує перешкоди між злитим записом і успішним захопленням облікового запису.

Як credential stuffing перетворює злиті паролі на захоплення облікових записів

Credential stuffing – це основний спосіб, у який бази даних на кшталт цієї перетворюються на зброю. Автоматизовані інструменти з величезною швидкістю перебирають пари ім’я користувача-пароль, тестуючи їх на сторінках входу сотень сервісів одночасно. Оскільки багато людей повторно використовують паролі на різних облікових записах, облікові дані, злиті з одного сервісу, можуть відкрити доступ до акаунтів на зовсім інших платформах.

Наявність URL-адрес для входу у цій базі даних робить навіть цей автоматизований крок ефективнішим. Зловмисникам не потрібно вгадувати, якими сервісами користується жертва. Дані підказують їм це. Один-єдиний викритий запис може обернутися зламаним банківським рахунком, поштовою скринькою або корпоративним VPN-порталом, якщо жертва використовувала той самий пароль деінде.

Це не теоретичний ризик. Атаки credential stuffing пов’язували із захопленням облікових записів у фінансових установах, стримінгових сервісах, платформах електронної комерції та корпоративних системах. Обсяг доступних облікових даних зріс настільки, що навіть зловмисники з обмеженими ресурсами можуть запускати такі кампанії масштабно.

Варто також зазначити, що методи соціальної інженерії розвиваються паралельно з крадіжкою облікових даних. Зловмисники дедалі частіше поєднують злиті дані з цільовими фішинговими кампаніями. Знаючи адресу електронної пошти жертви, пов’язаний із нею сервіс і пароль, зловмисник отримує достатньо контексту, щоб створити переконливі подальші атаки, зокрема фішингові схеми з використанням ШІ, які стає все важче відрізнити від легітимних повідомлень.

Чому сам лише VPN не захистить вас від цієї загрози

VPN шифрує ваш інтернет-трафік і маскує вашу IP-адресу. Це справді корисний інструмент для захисту приватності під час передавання даних, особливо в публічних мережах. Але загроза, яку становить ця база даних на 24 мільярди записів, жодним чином не пов’язана з перехопленням трафіку.

Ваші облікові дані не були викрадені під час передавання через мережу. Їх взяли з сервісу, до якого ви входили, де вони зберігалися небезпечно, і зрештою об’єднали у скомпільовану базу даних. До моменту, коли ця база даних стає доступною для зловмисників, ваш VPN не відіграє жодної ролі. Шкода вже заподіяна на рівні зберігання, а не передавання.

Це критична відмінність, яка часто губиться в тому, як VPN рекламують і обговорюють. VPN не може захистити дані, які сторонній сервіс зберігав недбало. Він не може запобігти атакам credential stuffing, що використовують паролі, які ви створили роки тому. Він не може сповістити вас, коли ваша електронна пошта з’являється у злитому наборі даних. Для цього потрібні зовсім інші інструменти.

Негайні кроки: MFA, менеджери паролів і моніторинг витоків

Хороша новина полягає в тому, що засоби захисту від credential stuffing добре відомі й доступні. Складність у тому, що більшість людей ще не впровадили їх повною мірою.

Увімкніть багатофакторну автентифікацію скрізь, де вона пропонується. Навіть якщо зловмисник має ваші правильні ім’я користувача та пароль, MFA вимагає другого кроку підтвердження, який він майже напевно не зможе виконати. Автентифікатори-застосунки безпечніші, ніж коди через SMS, але обидва варіанти незрівнянно кращі за відсутність MFA взагалі. Насамперед зосередьтеся на поштовому обліковому записі, фінансових акаунтах і будь-яких сервісах, що зберігають платіжну інформацію.

Використовуйте менеджер паролів для створення та зберігання унікальних паролів. Повторне використання паролів – це те, що перетворює один скомпрометований пароль на захоплення багатьох облікових записів. Менеджер паролів знімає когнітивне навантаження із запам’ятовування унікальних складних паролів для кожного сервісу. Якщо ваші облікові дані з одного витоку не можуть відкрити жодного іншого акаунту, шкода від будь-якого окремого викриття залишається ізольованою.

Перевірте, чи фігурують ваші облікові дані у відомих витоках. Кілька авторитетних сервісів моніторингу витоків дозволяють ввести вашу адресу електронної пошти й побачити, чи з’являлася вона у відомих злитих наборах даних. Багато менеджерів паролів тепер мають цей моніторинг як вбудовану функцію. Виконання цієї перевірки – це корисна відправна точка для розуміння вашої поточної вразливості.

Проведіть аудит наявних облікових записів. Знайдіть сервіси, якими ви більше не користуєтесь, і видаліть ці облікові записи, а не просто залишайте їх. Занедбані акаунти з повторно використовуваними паролями – це тягар. Менша кількість активних акаунтів означає меншу поверхню для атаки.

Що це означає для вас

Мільярди облікових даних, викритих у цьому витоці, становлять конкретну, реальну загрозу, а не гіпотетичний майбутній ризик. Якщо у вас є облікові записи, створені до того, як ви почали дотримуватися хорошої парольної гігієни, ці старі облікові дані, можливо, вже перебувають у подібних базах даних.

Правильна реакція – не відмовлятися від використання VPN і не панікувати. Вона полягає в тому, щоб зрозуміти: приватність і безпека потребують стеку взаємодоповнюючих інструментів: VPN для захисту трафіку, менеджера паролів для гігієни облікових даних, MFA для контролю доступу до акаунтів і моніторингу витоків для обізнаності. Жоден окремий інструмент не покриває всіх потреб.

Приділіть тридцять хвилин цього тижня аудиту вашого налаштування безпеки. Увімкніть MFA на найбільш чутливих облікових записах, запустіть перевірку витоків для ваших основних адрес електронної пошти та перевірте, чи досі ви використовуєте однакові паролі на різних сервісах. Ці кроки зроблять для захисту ваших акаунтів від наслідків витоку бази даних на 24 мільярди записів більше, ніж будь-який окремий інструмент для приватності сам по собі.