В январе текущего года известный ИБ-специалист и создатель агрегатора утечек Have I Been Pwned (HIBP) Трой Хант (Troy Hunt) обратил внимание сообщества на странный дамп, опубликованный в файлообменнике Mega.
«Коллекция №1» представляла собой подборку email-адресов и паролей, суммарно насчитывающую 2 692 818 238 записей. Трой Хант писал, что в эту подборку входят 772 904 991 уникальных email-адресов и еще 21 222 975 уникальных паролей.
Как мы уже писали ранее, публикацию этого дампа вряд ли можно назвать чем-то из ряда вон выходящим. Дело в том, что по большей части «Коллекция №1» представляет собой «сборник» старых утечек данных, и новой информации в этой подборке не так уж много. Так, Трой Хант обнаружил, что лишь 141 млн (около 18%) email-адресов из этого сборника не фигурировали на HIBP ранее и не были частью других известных брешей. Половина от 21 млн уникальных паролей тоже уже давно числилась, как «утекшие».
Теперь специалисты компании Recorded Future опубликовали отчет, в котором пишут, что им, похоже, удалось идентифицировать человека, который собрал эту подборку, а затем выставил на продажу. По данным компании, этот хакер известен под псевдонимом C0rpz и на составление гигантского дампа, в который вошли многочисленные «утечки» различных компаний, у него ушло около трех лет.
Также специалисты отмечают, что «Коллекция №1» была лишь частью сборника C0rpz, о чем нетрудно догадаться хотя бы по самому названию дампа. Еще в январе мы упоминали о том, что существуют еще как минимум пять пронумерованных частей того же «сборника» и два дополнения, озаглавленные ANTIPUBLIC и AP MYR & ZABUGOR (о которых во время своего исследования попросту не знал Трой Хант). Специалисты пишут, что подборка делится на следующие разделы:
- ANTIPUBLIC #1 (102,04 Гб);
- AP MYR & ZABUGOR #2 (19,49 Гб);
- Collection #1 (87,18 Гб);
- Collection #2 (528,50 Гб);
- Collection #3 (37,18 Гб);
- Collection #4 (178,58 Гб);
- Collection #5 (40,56 Гб).
В общей сложности сборник насчитывает около 3,5 млрд записей, то есть комбинаций данных email-адрес и пароль, юзернейм и пароль, номер телефона и пароль, и так далее. По информации Recorded Future, C0rpz продал этот сборник нескольким клиентам, некоторых из которых теперь и распространяют его бесплатно, через файлообменники и торренты.
Известный ИБ-журналист Брайан Кребс (Brian Krebs) уже писал о том, что сумел вычислить как минимум двух распространителей дампа, это хакеры Sanix и Clorox. В начале января 2019 года последний выложил часть сборника на форумах Raid Forums, что и привлекло внимание СМИ и экспертов в «Коллекции №1».
При этом Кребс и эксперты Recorded Future сходятся во мнении, что вряд ли кто-то из этих хакеров имел какое-то отношение к исходным утечкам данных, из которых состоит сборник. Более того, специалисты еще раз подчеркивают, что в основном в подборку входят утечки, о которых уже было известно ранее, просто раньше эти данные продавались или распространялись отдельно, а здесь они собраны в один «набор».
Пользователей в очередной раз призывают не паниковать и соблюдать простейшую «цифровую гигиену»: использовать надежные и разные пароли для сайтов и сервисов, не забывать про двухфакторную аутентификацию, не доверять свои личные данные подозрительным компаниями. Напомню, что проверить свои личные данные на предмет компрометации можно хотя бы на HIBP.