Xakep #305. Многошаговые SQL-инъекции
В феврале-марте 2019 года хакер (или группа лиц), сказывающийся под псевдонимом Gnosticplayers, выставил на продажу на торговой площадке Dream Market данные 863 млн пользователей. Дампы появились не сразу, а были разбиты на четыре отдельных «лота» (1, 2, 3, 4) и суммарно в них вошла информация о пользователях и клиентах 38 компаний.
Хотя торговая площадка Dream Market должна прекратить работу совсем скоро, 30 апреля текущего года, Gnosticplayers это не остановило. В конце прошлой недели злоумышленник вернулся с пятым «сборником» информации о пользователях, на этот раз выставив на продажу данные 65,5 млн человек, утекшие у шести различных компаний:
Компания | Размер БД | Цена | Содержимое |
Mindjolt (игровая платформа) | 28 млн | ฿0.1008 | email, ФИО, дата рождения, дата регистрации, игровые детали, паролей нет |
Wanelo (онлайн-магазин) | 23 млн | ฿0.159 | email, username, пароли (3 млн MD5 и остальные bcrypt) |
Evite (e-invitations платформа) | 10 млн | ฿0.2419 | ФИО, страна, email, IP-адреса, пароли (открытым текстом) |
Yanolja (южнокорейские отели и путешествия) | 1,5 млн | ฿0.1209 | email, пароли (MD5) |
Moda Operandi (магазин женской одежды) | 1,5 млн | ฿0.1129 | email, имена, пароли (SHA1), user-agent, IP-адреса и так далее |
iCracked (центр по ремонту техники Apple) | 1,5 млн | ฿0.1108 | имена, почтовые адреса, данные о геолокации, email, пароли и так далее |
Равно как и в прошлых случаях, ни одна из этих компаний пока не сообщала о каких-либо проблемах с безопасностью и утечках данных. При этом нужно отметить, что информация из прошлых дампов Gnosticplayers в итоге оказалась подлинной, и большинство пострадавших компаний экстренно предупреждали своих пользователей о компрометации.
Напомню, что злоумышленник охотно общается с представителями СМИ и ранее уже рассказывал журналистам, что в общей сложности в его распоряжении имеется порядка 20 различных баз, некоторые из которых он собирается выставить на продажу, а другие приберегает для личного пользования. Суммарно эти «сборники» включают в себя информацию примерно о миллиарде различных аккаунтов, а самые старые утечки датированы еще 2012 годом.
Теперь, с релизом пятого дампа, Gnosticplayers доказал правдивость своих слов, так как суммарно он уже выставил на продажу информацию о 932 млн человек.
При этом Gnosticplayers рассказывал СМИ, что им движут два основных мотиватора: желание заработать, а также стремление к славе. Дело в том, что Gnosticplayers хочет «войти в историю», как это ранее, например, сделал хакер известный под ником Peace_of_Mind. В 2016 году именно он продал на торговой площадке TheRealDeal информацию более чем о 800 млн человек, включая данные пользователей LinkedIn (167 млн), MySpace (360 млн), Tumblr (68 млн), «ВКонтакте» (100 млн), Twitter (71 млн) и так далее.
Напомню, что в конечном итоге информация Peace_of_Mind, вполне предсказуемо, просочилась в открытый доступ и послужила «бустом» для атак на подбор учетных данных (credentials stuffing) на несколько лет вперед. Вероятнее всего, то же самое произойдет с дампами Gnosticplayers, которые тоже пополнят списки ботнетов множеством новых комбинаций логинов и паролей.