חוקרי אבטחה מגלים את אחת מדליפות הנתונים הגדולות בהיסטוריה, עם מידע רגיש שיכול לשמש לגניבת זהות והונאות מתוחכמות
עולם האבטחה הדיגיטלית מתמודד עם גילוי מטלטל: חוקרי אבטחה זיהו מה שהם מתארים כ"אחת מדליפות הנתונים הגדולות בהיסטוריה", הכוללת 16 מיליארד פרטי התחברות, ביניהם גם חשבונות אפל. המידע הגנוב מעניק לפושעי הסייבר "גישה חסרת תקדים לפרטי הזדהות אישיים שיכולים לשמש להשתלטות על חשבונות, גניבת זהות ודיוג ממוקד במיוחד".
הגילוי המדהים הזה מגיע בעקבות דיווח מחודש שעבר על מסד נתונים של 184 מיליון רשומות שנמצא חשוף ברשת, כולל פרטי התחברות לאפל. כעת מתברר שזה היה רק קצה הקרחון – חקירה מעמיקה יותר חשפה כי מדובר באוסף עצום של 30 מסדי נתונים נפרדים, שכל אחד מהם מכיל בין עשרות מיליוני רשומות ועד 3.5 מיליארד רשומות.
מבנה מתוחכם המעיד על מקור המידע
החוקרים מדגישים שאלו אינן דליפות ישנות המוחזרות לשימוש. "מה שמדאיג במיוחד הוא המבנה והעדכניות של מסדי הנתונים הללו – אלה לא רק דליפות ישנות שמועברות. זה מידע מודיעיני טרי וניתן לשימוש בקנה מידה גדול", אמרו החוקרים.
המבנה הפשוט והמאורגן של הנתונים – כתובת אתר, שם משתמש וסיסמה – מצביע על תוכנות זדוניות מסוג אינפוסטילר כמקור המידע. מדובר בקטגוריה של תוכנות זדוניות שתוכננו במיוחד להשגת פרטי התחברות, ואוספות בדיוק את סוג המידע הזה בפורמט הזה.
המידע הגנוב פותח את הדלת לכמעט כל שירות מקוון שניתן לדמיין – מאפל, פייסבוק וגוגל ועד גיטהאב, טלגרם ושירותים ממשלתיים שונים. קשה להחמיץ משהו כשעל השולחן מונחים 16 מיליארד רשומות.
אתגר עצום לזיהוי נפגעים
הקנה מידה העצום של הגילוי הופך את הערכת החפיפה בין מסדי הנתונים השונים למשימה כמעט בלתי אפשרית. אבל גם אם נביא בחשבון כפילויות, זה עדיין יישאר כאחת מדליפות פרטי ההתחברות הגדולות ביותר שהתגלו אי פעם.
החוקרים טוענים שרוב הנתונים במסדי הנתונים הדלופים הוא תערובת של פרטים מתוכנות זדוניות גנבות מידע, ערכות למתקפות credential stuffing, ודליפות ישנות שנארזו מחדש. למרות שלא ניתן היה להשוות ביעילות בין מסדי נתונים שונים, ברור שישנן רשומות חופפות.
מסדי הנתונים שהתגלו מגוונים מאוד בגודלם. הקטן שבהם, שנקרא על שם תוכנה זדונית, הכיל למעלה מ-16 מיליון רשומות. הגדול ביותר, שככל הנראה קשור לאוכלוסייה דוברת פורטוגזית, הכיל מעל 3.5 מיליארד רשומות. בממוצע, מסד נתונים אחד עם פרטי התחברות חשופים הכיל 550 מיליון רשומות.
סיכון מוגבר לארגונים ללא אבטחה מתאימה
"הכללת יומני אינפוסטילר ישנים וחדשים – לעתים קרובות עם טוקנים, עוגיות ומטא-דאטה – הופכת את הנתונים הללו למסוכנים במיוחד לארגונים שחסרים אימות דו-שלבי או נוהלי היגיינת פרטי גישה", אמרו החוקרים.
דליפות פרטי גישה בקנה מידה כזה משמשות דלק לקמפיינים של דיוג, השתלטות על חשבונות, חדירות כופר, והתקפות BEC (פשרת אימייל עסקי). שיעור הצלחה של פחות מאחוז יכול לפתוח דלתות למיליוני אנשים, שניתן להונות אותם לחשוף פרטים רגישים נוספים, כמו חשבונות פיננסיים.
המלצות להגנה בסביבה מאיימת
למרות שלא ברור מי בעל מסדי הנתונים הדלופים – וייתכן שחלק מהם שייכים לפושעי סייבר ואחרים לחוקרי אבטחה הבודקים דליפות – המומחים מדגישים שהיגיינת סייבר בסיסית חיונית. סיסמאות חזקות ושינוי תכוף שלהן יכולים להיות ההבדל בין חשבון בטוח ובין פרטים גנובים. המשתמשים צריכים גם לבדוק את המערכות שלהם לאיתור אינפוסטילרים, כדי למנוע אובדן נתונים לתוקפים.
הדבר המעט מעודד הוא שכל מסדי הנתונים נחשפו רק לזמן קצר – מספיק כדי שהחוקרים יגלו אותם, אבל לא מספיק כדי לזהות מי שולט בכמויות העצומות של המידע. רוב מסדי הנתונים היו נגישים זמנית דרך מופעי Elasticsearch או אחסון אובייקטים לא מאובטחים.
מגמה מדאיגה של דליפות ענק
דליפות נתונים גדולות, עם מיליארדי רשומות חשופות, הפכו כמעט נפוצות. השבוע שעבר כתב Cybernews על מה שככל הנראה הדליפה הגדולה ביותר שפגעה אי פעם בסין, מיליארדי מסמכים עם נתונים פיננסיים, פרטי WeChat ו-Alipay, כמו גם נתונים אישיים רגישים אחרים.
בקיץ שעבר דלף באתר האקרים פופולרי האוסף הגדול ביותר של סיסמאות עם כמעט עשרה מיליארד סיסמאות ייחודיות, RockYou2024. ב-2021 דלף ברשת אוסף דומה עם למעלה מ-8 מיליארד רשומות.
בתחילת 2024, צוות המחקר של Cybernews גילה את מה שככל הנראה עדיין נחשבת לדליפת הנתונים הגדולה ביותר אי פעם: "אם כל הדליפות" (MOAB), עם 26 מיליארד רשומות מדהימות.
הגילוי החדש מעלה שאלות קשות על יכולת הגנה בסביבה דיגיטלית שבה פושעי סייבר מפעילים תוכנות זדוניות מתוחכמות יותר ויותר. בעידן שבו המידע הדיגיטלי הפך לסחורה יקרה, ההגנה על פרטיות המשתמשים והפרטי הגישה שלהם הופכת לאתגר הולך וגובר שדורש פתרונות חדשניים ומתקדמים יותר.
