Хакер #305. Многошаговые SQL-инъекции
Только вчера мы писали о том, что специалисты компании IntSights обнаружили в продаже дамп, в который входят учетные данные пользователей Zoom (email, пароли), а также идентификаторы собраний, имена и ключи хостов. Тогда речь шла о сравнительно маленькой БД, содержащей лишь около 2300 записей. Теперь же эксперты компании Cybersecurity Cyble сообщили, что на хакерских форумах и в даркнете можно найти примерно 500 000 учетных записей Zoom, которые порой раздают вообще бесплатно.
О своей находке специалисты рассказали журналистам издания Bleeping Computer. Исследователи соглашаются с мнением коллег из IntSights и пишут, что найденные ими учетные данные – это результат атака типа credential stuffing. Таким термином обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.
Торговлю аккаунтами Zoom эксперты заметили еще 1 апреля 2020 года. Они отмечают, что некоторые злоумышленники раздают взломанные аккаунты бесплатно, таким образом пытаясь завоевать себе репутацию в хакерском сообществе. Так, приведенный ниже пример демонстрирует список из 290 учетных записей, принадлежащих Университету Вермонта, Университету Колорадо, Дартмутскому колледжу, Университету Флориды и многим другим. Все они были опубликованы бесплатно.
Журналисты Bleeping Computer связались с несколькими пострадавшими из списка, используя указанные адреса электронной почты, и удостоверились, что такие учетные записи действительно существуют. Один из пользователей сообщил изданию, что приведенный в списке пароль был старым, то есть некоторые учетные данные, вероятно, были результатом более старых атак credential stuffing.
Заметив, что один из злоумышленников торгует учетными записями Zoom на хакерском форуме, специалисты Cyble связались с ним и договорились о покупке большого количества аккаунтов (чтобы предупредить своих клиентов о потенциальных проблемах). Таким образом Cyble удалось приобрести информацию примерно о 530 000 учетных записях Zoom по цене всего 0,0020 долларов за одну учетную запись.
Купленные исследователями данные включали адреса электронной почты, пароли, URL-адрес собраний, а также ключи хостов (HostKey). Среди этих аккаунтов обнаружились учетные записи, принадлежащие таким известным компаниям, как Chase и Citibank, крупным учебным заведениям и не только. Кроме того, исследователям удалось подтвердить подлинность части данных, проверив учетные записи, принадлежащие клиентам компании.
Специалисты напоминают, что повторное использование один и тех же паролей – это скверная идея, и рекомендуют пользователям, которые практикуют подобное, не рисковать и сменить пароли как можно скорее.