На прошлой неделе хакер (или группа лиц), сказывающийся под псевдонимом Gnosticplayers, выставил на продажу на торговой площадке Dream Market сразу два крупных дампа.
В первую подборку вошли данные 620 миллионов пользователей 16 крупных сайтов, включая MyHeritage, 500px и Dubsmash. За этот дамп злоумышленник суммарно просил около 20 000 долларов (в биткоинах).
Затем в продаже появился и второй дамп, содержавший 127 000 000 записей о пользователях еще 8 скомпрометированных компаний, включая файлообменник Ge.tt и криптовалютный обменик Coinmama. Эта подборка оценивается в 14 500 долларов в криптовалюте.
При этом злоумышленник охотно общается с представителями СМИ и уже рассказал журналистам, что не собирается останавливаться. Он заявлял, что в общей сложности в его распоряжении имеется порядка 20 различных баз, некоторые из которых он собирается выставить на продажу, а другие приберегает для личного пользования. Суммарно эти «сборники» включают в себя информацию примерно о миллиарде различных аккаунтов, а самые старые утечки датированы еще 2012 годом.
Судя по всему, Gnosticplayers не солгал, так как теперь на Dream Market появился третий сборник, включающий в себя информацию о еще 92,76 млн пользователей, оцененный преступником в 2,6249 BTC (примерно 9400 долларов США).
Наиболее "заметной" утечкой в этом дампе является информация о 8 000 000 пользователей популярного GIF-хостинга GfyCat. В новый дамп входят:
Компания | Размер БД | Дата утечки | Цена | Содержимое |
Legendas.tv (сервис обмена фильмами) | 3,86 Млн | 2017/10 | ฿0,35 | username, пароль (открытым текстом), email, IP-адрес |
Jobandtalent (рекрутинговый портал | 11 Млн | 2018/02 | ฿0,4669 | id, email, пароль (SHA1), «соль» паролей, имя, фамилия, текущий IP-адрес |
Onebip (платформа мобильных платежей) | 2,6 Млн | 2017/10 | ฿0,2626 | user ID, имя, email, пароль (открытым текстом), адрес, информация о компании, телефон, данные PayPal, банковская информация, логи входов, ключ API и т.д. |
StoryBird (сервис для сторителлеров) | 4 Млн | 2015 | ฿0,2334 | email, пароль (SHA256), username и т.д. |
StreetEasy (недвижимость) | 1 Млн | 2018/05 | ฿0,175 | username, email, пароль (SHA1), «соль» и т.д. |
GfyCat (GIF-хостинг) | 8 Млн | 2018 | ฿0,35 | username, пароль (SHA512), email и т.д. |
ClassPass (фитнесс) | 1,5 Млн | 2018 | ฿0,204 | email, пароль (SHA1), username, страна, пол, ФИО |
Pizap (онлайновый редактор фото) | 60,8 Млн | 2018 | ฿0,583 | ID пользователя на Facebook, пароль (SHA1 / не для всех), email и т.д. |
Как и в прошлых случаях, ни одна из этих компаний ранее не сообщала о каких-либо инцидентах и утечках. На данный момент лишь представители GfyCat уже подтвердили изданию ZDNet, что занимаются расследованием происходящего, а также заверили, что все пользовательские пароли надежно зашифрованы и не могли «утечь» в формате простого текста. Напомню, что информация из прошлых дампов Gnosticplayers в итоге оказалась подлинной, и большинство компаний экстренно предупредили своих пользователей о компрометации.
Как уже было сказано выше, Gnosticplayers охотно общается с прессой. Теперь, в беседе с журналистами издания ZDNet, он заявил, что имеет непосредственное отношение именно к взлому перечисленных компаний, а не просто выступает посредником по перепродаже данных. Также Gnosticplayers еще раз подтвердил, что суммарно намерен продать информацию почти о 1 млрд пользователей.
Отвечая на вопрос, зачем он это делает, Gnosticplayers объяснил, что его интересуют всего две вещи: «деньги и разорение американских свиней».
Дело в том, что к каждому «лоту» злоумышленника также приложено послание, в котором тот поносит американские и британские власти из-за ареста другого хакера, Джорджа Дюка-Коэна (George Duke-Cohan), которого Gnosticplayers в своих сообщениях называет «молодым и талантливым пареньком». Тот являлся членом группировки Apophis Squad, прошлым летом был арестован, приговорен к трем годам тюремного заключения в Великобритании, а теперь ему грозит тюремное заключение сроком до 65 лет в США.