На прошлой неделе хакер (или группа лиц), сказывающийся под псевдонимом Gnosticplayers, выставил на продажу на торговой площадке Dream Market сразу два крупных дампа.

В первую подборку вошли данные 620 миллионов пользователей 16 крупных сайтов, включая MyHeritage, 500px и Dubsmash. За этот дамп злоумышленник суммарно просил около 20 000 долларов (в биткоинах).

Затем в продаже появился и второй дамп, содержавший 127 000 000 записей о пользователях еще 8 скомпрометированных компаний, включая файлообменник Ge.tt и криптовалютный обменик Coinmama. Эта подборка оценивается в 14 500 долларов в криптовалюте.

При этом злоумышленник охотно общается с представителями СМИ и уже рассказал журналистам, что не собирается останавливаться. Он заявлял, что в общей сложности в его распоряжении имеется порядка 20 различных баз, некоторые из которых он собирается выставить на продажу, а другие приберегает для личного пользования. Суммарно эти «сборники» включают в себя информацию примерно о миллиарде различных аккаунтов, а самые старые утечки датированы еще 2012 годом.

Судя по всему, Gnosticplayers не солгал, так как теперь на Dream Market появился третий сборник, включающий в себя информацию о еще 92,76 млн пользователей, оцененный преступником в 2,6249 BTC (примерно 9400 долларов США).

Наиболее «заметной» утечкой в этом дампе является информация о 8 000 000 пользователей популярного GIF-хостинга GfyCat. В новый дамп входят:

Компания Размер БД Дата утечки Цена Содержимое
Legendas.tv (сервис обмена фильмами) 3,86 Млн 2017/10 ฿0,35 username, пароль (открытым текстом), email, IP-адрес
Jobandtalent (рекрутинговый портал 11 Млн 2018/02 ฿0,4669 id, email, пароль (SHA1), «соль» паролей, имя, фамилия, текущий IP-адрес
Onebip (платформа мобильных платежей) 2,6 Млн 2017/10 ฿0,2626 user ID, имя, email, пароль (открытым текстом), адрес, информация о компании, телефон,  данные PayPal, банковская информация, логи входов, ключ API и т.д.
StoryBird (сервис для сторителлеров) 4 Млн 2015 ฿0,2334 email, пароль (SHA256), username и т.д.
StreetEasy (недвижимость) 1 Млн 2018/05 ฿0,175 username, email, пароль (SHA1), «соль» и т.д.
GfyCat (GIF-хостинг) 8 Млн 2018 ฿0,35 username, пароль (SHA512), email и т.д.
ClassPass (фитнесс) 1,5 Млн 2018 ฿0,204 email, пароль (SHA1), username, страна, пол, ФИО
Pizap (онлайновый редактор фото) 60,8 Млн 2018 ฿0,583 ID пользователя на Facebook, пароль (SHA1 / не для всех), email и т.д.

Как и в прошлых случаях, ни одна из этих компаний ранее не сообщала о каких-либо инцидентах и утечках. На данный момент лишь представители GfyCat уже подтвердили изданию ZDNet, что занимаются расследованием происходящего, а также заверили, что все пользовательские пароли надежно зашифрованы и не могли «утечь» в формате простого текста. Напомню, что информация из прошлых дампов Gnosticplayers в итоге оказалась подлинной, и большинство компаний экстренно предупредили своих пользователей о компрометации.

Как уже было сказано выше, Gnosticplayers охотно общается с прессой. Теперь, в беседе с журналистами издания ZDNet, он заявил, что имеет непосредственное отношение именно к взлому перечисленных компаний, а не просто выступает посредником по перепродаже данных. Также Gnosticplayers еще раз подтвердил, что суммарно намерен продать информацию почти о 1 млрд пользователей.

Отвечая на вопрос, зачем он это делает, Gnosticplayers объяснил, что его интересуют всего две вещи: «деньги и разорение американских свиней».

Дело в том, что к каждому «лоту» злоумышленника также приложено послание, в котором тот поносит американские и британские власти из-за ареста другого хакера, Джорджа Дюка-Коэна (George Duke-Cohan), которого Gnosticplayers в своих сообщениях называет «молодым и талантливым пареньком». Тот являлся членом группировки Apophis Squad, прошлым летом был арестован, приговорен к трем годам тюремного заключения в Великобритании, а теперь ему грозит тюремное заключение сроком до 65 лет в США.

Оставить мнение