Издание ZDNet сообщило, что еще в июне 2018 года известный ИБ-эксперт, один из основателей компании Digita Security Патрик Вордл (Patrick Wardle) обнаружил, что в открытом доступе логины и пароли 15 500 пользователей Mega. Дамп содержал учетные данные, email-адреса и даже имена загруженных пользователями файлов.
Специалист нашел текстовый файл с данными пользователей на VirusTotal, куда его загрузил некто, предположительно находившийся во Вьетнаме. Вскоре Вордл поделился своей находкой с журналистами ZDNet, и те проверили подлинность утечки: связались с некоторыми пользователями из списка, установив легитимность почтовых адресов, паролей и файлов. Выяснилось, что информация действительно принадлежит посетителям известного файлообенника Mega, ранее принадлежавшего Киму Доткому.
Стоит отметить, что как минимум пять человек, с которыми связались журналисты ZDNet, признали, что использовали одинаковые пароли для разных сайтов и сервисов. Еще трое пострадавших сообщили, что уже замечали в логах своих аккаунтов подозрительную активность, исходившую с IP-адресов стран Восточной Европы, России и Южной Америки. В некоторых случаях преступники не просто проверяли, работают ли учетные данные из списка, но и нарочно повреждали имена файлов.
Предварительно убедившись в подлинности дампа, журналисты передали информацию известному ИБ-эксперту, основателю агрегатора утечек Have I Been Pwned Трою Ханту (Troy Hunt). Его анализ выявил, что дело не обошлось без так называемого credential stuffing, — этим термином обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. Таким образом, удалось понять, что утечка произошла не из-за компрометации систем Mega: 98% почтовых адресов из обнаруженного дампа ранее фигурировали в других инцидентах, связанных с утечками данных. Суммарно Хант обнаружил в базе Have I Been Pwned 87% аккаунтов.
Представители Mega подтвердили изданию, что проблема связана с credential stuffing, а сам файлообменник не подвергался компрометации. В компании подчеркнули, что утечка коснулась лишь 0,0001% пользовательской базы ресурса, которая насчитывает свыше 115 млн зарегистрированных пользователей.
Эксперты и журналисты сообщают, что установить точное происхождение дампа данных о 15 500 пользователей не удалось. При этом они акцентируют внимание на том факте, что не стоит полностью снимать ответственность с разработчиков Mega. Дело в том, что файлообменник по-прежнему не предлагает своим пользователям двухфакторную аутентификацию (в компании говорят, что она появится «скоро»), что лишь облегает жизнь злоумышленникам.
В конце статьи журналисты ZDNet обращают внимание, что среди файлов скомпрометированных аккаунтов, теперь доступных любому желающему, или был обнаружен странный контент, подпадающий под описание насилия над детьми. Издание уведомило о находке правоохранительные органы. Однако доподлинно неизвестно, был ли этот контент загружен в файлообменник настоящим владельцем аккаунта, или преступники использовали скомпрометированный аккаунт в качестве анонимной ячейки для передачи файлов.