В открытом доступе обнаружили базу из 149,4 млн аккаунтов, среди которых — около 420 тыс. учетных записей, связанных с Binance. База объемом 96 ГБ содержит логины, пароли, данные автозаполнения и историю нажатий клавиш.
Речь идет не о взломе биржи, а о массовом заражении компьютеров и смартфонов пользователей вредоносным ПО, которое крадет данные при входе в аккаунты. Утечку обнаружил исследователь по кибербезопасности Джереми Фаулер, который сообщил о нем компании ExpressVPN. База данных несколько недель находилась в открытом доступе без пароля и шифрования и содержала 149 404 754 уникальных записей. Каждая из них включала электронный адрес или логин, пароль и точный URL-адрес страницы входа.
По словам Фаулера, данные были собраны не с серверов компаний, а непосредственно с зараженных компьютеров и смартфонов с помощью инфостилеров — вредоносного ПО — программ, которые незаметно перехватывают пароли, cookie, данные автозаполнения и даже информацию о криптокошельках. Новые поколения infostealer маскируются под игровые модификации и читы и способны атаковать более 100 браузеров и десятки криптокошельков и бирж. Именно поэтому в базе одновременно оказались аккаунты из разных сервисов.
Больше всего записей касалось почтовых сервисов и соцсетей: 48 млн аккаунтов Gmail, 17 млн Facebook, 6,5 млн Instagram, 780 тыс. TikTok, 3,4 млн Netflix, 100 тыс. OnlyFans. Также зафиксировано 1,5 млн Outlook, 900 тыс. iCloud, 1,4 млн аккаунтов в доменах .edu. Для крипторынка ключевыми являются 420 тыс. логинов Binance, а также наличие данных финансовых сервисов, банковских аккаунтов, трейдинговых платформ и криптокошельков. Отдельную тревогу вызвало присутствие учетных данных с доменов .gov из разных стран. Даже ограниченный доступ к таким аккаунтам может использоваться для целевого фишинга или как точка входа в государственные сети.
Binance в этом инциденте не была взломана. Утечка не связана с компрометацией инфраструктуры биржи: логины попали в базу из-за заражения устройств самих пользователей. Это означает, что биржа как платформа не потеряла данные, но пользователи, чьи пароли были похищены, остаются в зоне риска. Биржа продолжает мониторинг даркнета, уведомляет потенциально пострадавших клиентов и принудительно сбрасывает пароли при обнаружении угроз.
Главная угроза — так называемые credential-stuffing-атаки, когда злоумышленники автоматически проверяют похищенные логины и пароли на различных сервисах. Если пользователь повторно использовал пароль, злоумышленники могут получить доступ к почте и криптобирже, даже если конкретный сервис не был взломан. Удаление базы не означает, что проблема исчезла: данные могли быть скопированы ранее. Единственное, что реально снижает риски, — очистка устройства от вредоносного ПО, смена паролей после этого, использование уникальных паролей и двухфакторной аутентификации, особенно для аккаунтов на криптобиржах.
Источник: CCN.com
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: