Adatok milliói kerültek ismét veszélybe

A PwnedList biztonsági szolgáltatás meglehetősen nagy ismertségre tett szert az elmúlt években. Most azonban egy olyan sebezhetőségére derült fény, amely tömeges adatszivárgást idézhetett volna elő.
 

Alen Puzic és Jasiel Spelman, a DVLabs két biztonsági szakértője 2011-ben egy érdekes ötlettel állt elő. Úgy határoztak, hogy lehetőséget adnak a felhasználók számára arra, hogy lekérdezhessék, hogy valamely biztonsági incidens érintette-e őket. Ennek érdekében létrehozták a PwnedList weboldalt, amelynek igazán a háttéradatbázisa volt érdekes. Abba ugyanis belekerültek az egyes nagyszabású biztonsági incidensek során kiszivárgott hitelesítési adatok. Hasonlóan működött, mint a 2013-ban bemutatkozó "have i been pwned?" elnevezésű weboldal. 

A PwnedList az évek során meglehetősen nagy ismertségre tett szert. Az üzemeltetői töretlenül gyűjtötték, és rendszerezték az internetre kiszivárgott adatokat, hogy a felhasználók minél pontosabb képet kaphassanak az adataik esetleges adatlopásokban való érintettségéről. A kezdeményezés olyan sikeres lett, hogy 2013-ban az InfoArmor felvásárolta a PwnedListet. Néhány hónappal később pedig elindult a Vendor Security Monitoring szolgáltatás, amely azzal a céllal jött létre, hogy a szervezeteket figyelmeztetni lehessen az adatszivárgásokra.

Minden a visszájára fordulhatott volna 

A PwnedList mögött lévő adatbázisba az évek során 866 millió felhasználói fiokhoz tartozó adat került, amelyek összesen több mint 101 ezer adatszivárgási incidens során kerültek illetéktelen kezekbe. Egy ekkora adatbázis nyilvánvalóan a kiberbűnözés figyelmét is felkelti, hiszen hiába lopott adatok gyűjteményéről van szó, azok attól még értékesek, és egy helyen fellelhetők. 

Szerencsére a fehérkalaposok beelőztek

A PwnedList rendszerébe Bob Hodges biztonsági kutató fedezte fel azt a biztonsági rést, amely komoly adatbiztonsági incidens forrása lehetett volna. Amikor éppen két domaint akart beregisztrálni a szolgáltatás figyelőlistájára, akkor arra jött rá, hogy tulajdonképpen bármilyen domaint megadhatott volna, és felvehette volna a listára. Ez pedig azért nagy probléma, mert így az adott domainekhez tartozó, korábban kiszivárgott adatokhoz hozzájuthatott volna. 

Hodges az esetről értesítette a neves Brian Krebs-et, aki szintén górcső alá vette a sebezhetőséget. A tesztje során beregisztrálta az apple.com domain nevet, és 12 órán belül egy olyan letölthető jelentéshez jutott, amely több mint százezer apple.com-hoz tartozó felhasználói fiók bejelentkezési adatát tartalmazta, beleértve a felhasználóneveket és a jelszavakat is. A szakember mindezt akár a gmail.com vagy más ismert domainnel is megtehette volna a feltárt biztonsági résen keresztül.

Kerbs a biztonsági hiba létezésének igazolása után azonnal értesítette az InfoArmort, amely leállított a PwnedList weboldalt, és befoltozta a biztonsági rést, így az már nem jelent kockázatot. 
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség