42 millió jelszó keresi a gazdáját

​Az egyik internetszolgáltató arra lett figyelmes, hogy az általa biztosított tárhelyre egy olyan fájl került fel, amely 42 millió e-mail címet és jelszót tartalmaz.
 

A jelszólopások, jelszavakkal történő visszaélések továbbra is burjánzanak az interneten. A nem egyszer több ezer vagy akár több millió felhasználót érintő adatlopások során töméntelen mennyiségű bizalmas adat kerül illetéktelen kezekbe. Ezek az adatok pedig időnként itt-ott megjelennek az interneten. Legtöbbször alvilági fórumokon folyik az értékesítésük, de nem egyszer teljesen nyilvános webhelyekre is kikerülnek. Ez történt ezúttal is.
 
A Kayo.moe ingyenesen használható, anonimitást biztosító tárhelyszolgáltató üzemeltetői egy érdekes fájlra lettek figyelmesek. Amikor ezt szemügyre vették, akkor azt tapasztalták, hogy 42 millió sor található a fájlban. Ezek mindegyike egy-egy e-mail címet és jelszót tartalmazott. A szakemberek első ránézésre tudták, hogy lopott adatokról van szó, de további elemzések céljából az állományt átadták az ausztrál biztonsági kutató, Troy Hunt számára. Hunt üzemelteti a világszinten ismert Have I Been Pwned weboldalt, ahol bárki lekérdezheti, hogy az e-mail címével összefüggésben történt-e bármiféle incidens a megelőző időszakokban.
 
A biztonsági kutató összevetette az eddig feldolgozott biztonsági incidensekből származó adatokat a fájlban lévő információkkal. Megállapította, hogy az adatok 93 százaléka már szerepel az adatbázisában. A maradék (összességében nem kevés) adat pedig teljesen új volt számára.  
A szakember arra gyanakszik, hogy a szóban forgó állományt az alvilág úgynevezett credential stuffing támadáshoz használta. E támadási módszer célja, hogy tömeges bejelentkezési kísérletekkel ellenőrizzék az elkövetők a birtokukban lévő hitelesítő adatok érvényességét, valódiságát. Mindezt automatizáltan, speciális szoftverek segítségével végzik, miközben regisztrálják a sikeres bejelentkezéseket. Ekkor gyakorta nemcsak egy online szolgáltatást ostromolnak, hanem az bejelentkezési adatokat több netes felületen is kipróbálják abban bízva, hogy a felhasználók ugyanazon felhasználónevet és jelszót több helyen is alkalmazzák. Sajnos gyakorta sikerrel is járnak.
 
Hunt eddig nem tudta azonosítani, hogy a Kayo által lefülelt fájlban lévő adatok mely támadás során kerülhettek illetéktelen kezekbe. Az is lehet, hogy ez egy olyan gyűjtemény, amely több adatbiztonsági incidenshez kötődik.
 
A biztonsági szakértő minden felhasználónak azt javasolta, hogy erős, rendszeresen módosított jelszavakat használjanak, és minden alkalmazás, szolgáltatás esetén más-más bejelentkezési adatot válasszanak. Célszerű élni a jelszókezelő alkalmazások adta lehetőségekkel, illetve a kétfaktoros hitelesítéssel.