У відкритому доступі виявили базу з 149,4 млн акаунтів, серед яких — близько 420 тис. облікових записів, пов’язаних із Binance. База обсягом 96 ГБ містить логіни, паролі, дані автозаповнення та історію натискань клавіш.
Йдеться не про злам біржі, а про масове зараження комп’ютерів і смартфонів користувачів шкідливим ПЗ, яке краде дані під час входу в акаунти. Витік виявив дослідник з кібербезпеки Джереми Фаулер, який повідомив про нього компанії ExpressVPN. База даних кілька тижнів перебувала у відкритому доступі без пароля та шифрування і містила 149 404 754 унікальні записи. Кожен із них включав електронну адресу або логін, пароль і точну URL-адресу сторінки входу.
За словами Фаулера, дані були зібрані не з серверів компаній, а безпосередньо з заражених комп’ютерів і смартфонів за допомогою інфостілер-шкідливого ПЗ — програм, які непомітно перехоплюють паролі, cookie, дані автозаповнення та навіть інформацію про криптогаманці. Нові покоління infostealer маскуються під ігрові модифікації та чіти і здатні атакувати понад 100 браузерів та десятки криптогаманців і бірж. Саме тому в базі одночасно опинилися акаунти з різних сервісів.
Найбільше записів стосувалося поштових сервісів і соцмереж: 48 млн акаунтів Gmail, 17 млн Facebook, 6,5 млн Instagram, 780 тис. TikTok, 3,4 млн Netflix, 100 тис. OnlyFans. Також зафіксовано 1,5 млн Outlook, 900 тис. iCloud, 1,4 млн акаунтів у доменах .edu. Для крипторинку ключовими є 420 тис. логінів Binance, а також наявність даних фінансових сервісів, банківських акаунтів, трейдингових платформ і криптогаманців. Окрему тривогу викликала присутність облікових даних із доменів .gov з різних країн. Навіть обмежений доступ до таких акаунтів може використовуватися для цільового фішингу або як точка входу в державні мережі.
Binance у цьому інциденті не була зламана. Витік не пов’язаний із компрометацією інфраструктури біржі: логіни потрапили до бази через зараження пристроїв самих користувачів. Це означає, що біржа як платформа не втратила дані, але користувачі, чиї паролі були викрадені, залишаються в зоні ризику. Біржа продовжує моніторинг даркнету, повідомляє потенційно постраждалих клієнтів і примусово скидає паролі при виявленні загроз.
Головна загроза — так звані credential-stuffing-атаки, коли зловмисники автоматично перевіряють викрадені логіни та паролі на різних сервісах. Якщо користувач повторно використовував пароль, зловмисники можуть отримати доступ до пошти та криптобіржі, навіть якщо конкретний сервіс не був зламаний. Видалення бази не означає, що проблема зникла: дані могли бути скопійовані раніше. Єдине, що реально знижує ризики, — очищення пристрою від шкідливого ПЗ, зміна паролів після цього, використання унікальних паролів і двофакторної автентифікації, особливо для акаунтів на криптобіржах.
Джерело: CCN.com
Повідомити про помилку
Текст, який буде надіслано нашим редакторам: