Об утечках для чайников

Дисклеймер никогда не унимается и гласит, что данная статья рассчитана на людей без глубокого технического бэкграунда и содержит практический пример — полностью сфабрикованный и ничего общего не имеющий с реальностью, призванный подкрепить текст наглядной демонстрацией. Все совпадения случайны, все персонажи выдуманы. Такие дела.

Это вторая статья цикла, где я пытаюсь без технических подробностей объяснить аспекты информационной безопасности, касающиеся рядовых пользователей Сети. В прошлый раз на повестке дня была безопасность домашних беспроводных сетей, сегодня — последствия утечек учётных и персональных данных.

Итак, мы поговорим о не вполне очевидном для многих способе взлома аккаунтов в соцсетях. Наверняка у каждого есть такой друг, который однажды попросил перевести ему пару тысяч рублей на карту Сбера, после чего его страница была заблокирована. Возможно, Вы сами и есть такой друг.

Существует огромное количество способов слить в Сеть учётные данные от своих аккаунтов. Некоторые устанавливают сторонние мобильные приложения (например, ради возможности слушать музыку ВК), куда, естественно, вводят логин и пароль. Некоторые доверяют сторонним плагинам для браузеров (ну ведь видно битрейт музыки!). Особо отчаявшиеся пользуются совсем уж левыми сервисами, позволяющими смотреть скрытых друзей, гостей страницы и ещё не весть что. Всё это не попадает в фокус данного поста, потому что люди делают это добровольно.

Можно также стать жертвой целевой социальной инженерии, например, подключиться к публичной (или скомпрометированной домашней) сети, где по знакомому адресу vk.com будет находиться знакомая форма ввода логина/пароля, только данные будут попадать сначала злоумышленнику, а потом уже на серверы ВК. Это тоже не попадает в фокус данного поста, потому что такие относительно сложные, с технической точки зрения, атаки нечасто направлены на обычных людей.

Что же это за утечки учётных и персональных данных? Разберём на примитивном примере. Есть крупная соцсеть (Facebook, ВК, etc), которая серьёзно* относится к безопасности своих пользователей. Есть относительно популярный сервис (Last.fm, Ask.fm, etc), где безопасность данных пользователей не в приоритете. Есть человек, который зарегистрирован и в соцсети и в сервисе с одинаковой почтой и паролем. Есть группа хакеров, опубликовавшая базу данных взломанного сервиса, где пароли хранятся в открытом виде. Картина складывается?

Что ж, теперь поговорим отдельно о логинах и паролях.

* на самом деле нет 😐

Логины

Зачастую в качестве логинов сервисы принимают:

  • Адрес электронной почты;
  • Никнейм;
  • Номер мобильного телефона.

При этом во втором десятилетии 21-го века непросто сохранять эту информацию в секрете. Уникальный ник; e-mail, указанный как контактный где-нибудь на бирже вакансий; открыто указанный номер телефона на странице в соцсети. Не обязательно становиться параноиком, но я покажу, как эта, вроде бы безобидная, информация способна стать ключом к компрометации Ваших цифровых активов.

Всегда можно воспользоваться старым-добрым поисковиком и пособирать данные о Вас там. Но можно воспользоваться и каким-нибудь умным агрегатором. Вспоминается хотя бы поиск Яндекса по соцетям — оружие из арсенала домохозяйки-разведчицы.

Однако нас интересуют слитые данные и потому мы обратим внимание на сервис phonenumber.to (на момент публикации активен, но РосКомНадзор грозится заблокировать его со дня на день, да и сервера у парней не всегда выдерживают). Заскучав по городским телефонным справочникам девяностых, ребята решили создать справочник номеров мобильных телефонов. Данные берутся как из открытых источников (указаны на странице в соцсети), так и из закрытых (наименее удачливые находят на страницах сайта свои полные данные, включающие адрес, фамилию имя отчество, номер телефона, иногда и адрес электронной почты). При помощи подобного сервиса, по имени и фамилии можно скопом раздобыть сразу целый набор логинов: номер телефона, электронную почту, а иногда и никнейм (например, если электронная почта его содержит в той или иной форме).

Раз уж я обещал наглядный пример, введём имя и фамилию интересующего нас человека. Допустим, мы прочитали имя и фамилию на его странице Вконтакте и хотим узнать о нём побольше. Посмотрим, что нам удастся раздобыть.

leak1

Излишки информации (такие как город проживания) можно использовать для того, чтобы убедиться, что это именно тот человек, который нас интересует. Итак, здесь у нас целых 2 потенциальных логина: номер телефона и адрес электронной почты. Двигаемся дальше.

Раздобыв логин, можно проверить, замечен ли он в каком-либо известном сливе. Здесь на помощь приходит удобный сервис haveibeenpwned. Вбиваем ник или электронную почту в строку поиска и смотрим результат. Если Ваша почта была слита в какой-то базе данных, сервис зачастую позволяет посмотреть, какие именно Ваши данные стали достоянием Сети:

Compromised data: Email addresses, Passwords

Среди данных могут быть как довольно безобидные, такие как имя и дата рождения, так и деликатные: пароли, хэши паролей или даже номера кредитных карт. Проверяем почту нашего вымышленного персонажа.

leak2

Слитая учётка Вконтакте — довольно деликатная информация. Поскольку она теперь стала достоянием общественности, любой человек, знающий, где её взять, сможет этим достоянием воспользоваться. И здесь мы переходим к самому интересному — паролям.

Пароли

Упомянутый выше haveibeenpwned не показывает самого главного — слитых паролей. А ведь они в числе прочего утекают в Интернет. Воспользуемся аналогом, сервисом leakedsource, который предоставляет любопытным людям больше информации. Работает он аналогично — вводим входные данные (искать можно по нику, почте, телефону, имени и фамилии) и получаем результат. Во-первых, leakedsource хранит намного больше учёток: 2,293,680,424 на момент публикации поста, а во-вторых, имеет коммерческую направленность. Платим $4 и вместо общих фраз получаем информацию по существу — вот он пароль к ВК в открытом виде.

leak3

Пароль хорош и очевидно криптографически устойчив. Но всё это не имеет смысла, когда он доступен любому пользователю Интернета. Таким образом, за 2 минуты и 4 доллара мы потенциально получили доступ к приватной информации человека, преодолев путь от имени и фамилии до логина и пароля ВК (заходить можно как почтой так и телефоном — у нас есть и то и другое). А ведь кто знает, к скольким ещё сервисам он подойдёт? Ко всему прочему, leakedsource позволяет воспользоваться режимом отображения «сырых данных» — прямо в том виде, в котором они утекли в Сеть. В случае с ВК это также выявляет номер телефона. Сравниваем с полученным на phonenumber и подтверждаем найденную информацию.

leak4

Конечно, сливы могут быть старыми, но и манера формировать пароли у многих не изменяется годами. Существуют инструменты, автоматически составляющие все варианты паролей по набору известных входных данных — имени, нику, дате рождения и прочим (специально для любителей префиксов и постфиксов а-ля 1992, 777 и 555).

Иногда по двум-трём паролям можно понять, какой паттерн человек использует для их формирования и прикинуть, стоит ли пытаться осуществлять вдумчивый перебор.

Кому я нужен?

Снова этот резонный вопрос. Учитывая простоту и доступность методов и инструментов, такому пристальному исследованию можно подвергнуться просто от чьей-то скуки или внимания.

Но существует целая индустрия мошеннических схем, основанных на манипулировании слитыми данными. Накопив огромную базу или используя данные сервисов типа leakedsource, мошенники способны автоматически перебирать пароли к миллионам учёток. В один прекрасный момент, Ваши почта и пароль, слитые при взломе любимого интернет-магазина, подходят к Вашей учётке ВК и вот друзья уже названивают и говорят, что кто-то с Вашей страницы рассылает сообщения с просьбой подкинуть тысчёнку до зарплаты. И это отнюдь не фантастический сюжет.

Итоги

Наверняка текст способен повергнуть обычного человека в состояние крайней задумчивости. Понимаю. Хочется непременно сделать что-то для защиты своей цифровой неприкосновенности? Вот несколько советов:

  • Прямо сейчас (да-да, я подожду) поставьте двухфакторную аутентификацию на всех критичных сервисах (ищите в настройках безопасности сайта). Пускай сервис присылает сообщение с кодом доступа — это не так уж и напрягает, зато обеспечивает защиту от случайно подошедшей пары логин/пароль. ВК, Facebook, Evernote — включаем двухфакторку на всём, что попадается под руку и не ленимся при входе ввести 6 цифр кода;
  • Воспользуйтесь функцией «Notify» на haveibeenpwned и leakedsource. Эта функция позволяет подписаться на уведомления о сливах, в которых будут замечены Ваши почта или ник. Пришло печальное известие — при помощи leakedsource проверяем, какие именно данные утекли. В зависимости от этого, паникуем или нет;
  • Заведите почту для регистрации на всяких левых сервисах и сайтах. Как видно даже из этого поста, сливают и крупнейшие ресурсы, чего уж говорить о Вашем вопроснике или сервисе заметок — их тоже когда-то сольют. Пусть лучше там фигурирует почта, которую никто без глубокой подготовки не свяжет с Вами. Можно настроить пересылку на свой основной ящик. Неудобно? Пожалуй. Зато избавляет от ряда потенциальных проблем;
  • Не используйте пароли, в которых явно заметен шаблон (koteiki13041990, koteiki123 и koteiki2016 это не один и тот же пароль, но обладая знанием всех трёх можно строить предположения). Опять же, как видно из поста, длинные непроизносимые пароли — не панацея, но всё же лучше уж они;
  • Меняйте пароли чаще, чем раз в жизни. Серьёзно. Это развивает память. Наверное.

Что ж, вот и всё, что я хотел рассказать о сливах учётных и персональных данных. Надеюсь, после прочтения данного текста Вы станете почаще задумываться о том, не лежит ли где-то в открытом доступе Ваш текущий сложный и очень уж безопасный пароль.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *