Издание ZDNet сообщает, что архивы сайта Cit0day[.]in, который агрегировал утечки данных и закрылся в сентябре текущего года, теперь распространяются на хакерских форумах и в Telegram-каналах. А это более 23 600 взломанных баз данных.
Считается, что Cit0Day был приватным сервисом, который рекламировался на хакерских форумах и работал для преступников. Так, операторы сайта собирали самые разные скомпрометированные БД и предоставляли доступ к этому массиву данных своим клиентам (за ежедневную или ежемесячную плату). После оплаты хакеры получали доступ к именам пользователей, электронной почте, адресам, а зачастую даже к паролям в открытом виде. Как правило, эта информация использовалась для определения возможных паролей намеченных жертв, чтобы попытаться взломать их учетные записи на различных сайтах.
В сущности, Cit0Day являлся продолжателем той же идеи, которая лежала в основе таких ресурсов, как LeakedSource и WeLeakInfo, которые были закрыты властями в 2018 и 2020 годах. Так, по данным аналитиков компании KELA, Cit0Day[.]in был запущен в январе 2018 года, вскоре после закрытия LeakedSource, и широко рекламировался как на подпольных ресурсах в даркнете, так и на крупных «открытых» сайтах и форумах, включая BitcoinTalk.
Cit0Day пропал с радаров в сентябре 2020 года, когда на главной странице ресурса появилась «заглушка», информирующая о том, что сайт закрыт ФБР и Министерством юстиции США.
После этого на хакерских форумах начали распространяться слухи о том, что создатель сайта, известный под ником Xrenovi4, мог быть арестован, как это произошло с операторами LeakedSource и WeLeakInfo. Но, похоже, уведомление о закрытии ресурса ФБР было поддельным. Исследователи обратили внимание, что уведомление скопировано с настоящей «заглушки», которую власти использовали во время ликвидации Deer[.]io. Кроме того, правоохранители не объявляли о каких-либо арестах и проведенных операциях, хотя обычно такие действия идут рука об руку.
Более того, на прошлой неделе на хакерских форумах стал бесплатно распространяться полный архив Cit0Day. Журналисты отмечают, что неизвестно, является ли это результатом взлома, или же бывшие операторы сайта сами имеют какое-то отношение к данному «сливу».
В общей сложности на файлообменник MEGA было загружено 23 618 взломанных баз данных (около 13 000 000 000 записей), хотя дамп удалили уже спустя несколько часов из-за сообщения о нарушении. Пользователи форума, успевшие загрузить дамп, писали, что подтверждают подлинность данных. Также журналисты ZDNet получили дополнительное подтверждение от итальянской ИБ-компании D3Lab.
Хотя дамп был доступен для загрузки лишь несколько часов, этого хватило, чтобы желающие успели его скачать, и в итоге информация широко разошлась по другим хак-форумам, Telegram-каналам и так далее.
ZDNet отмечает, что большинство взломанных БД, имевшихся в распоряжении Cit0day, были старыми и брались с сайтов, взломанных много лет назад. Также многие БД относились к небольшим no-name ресурсам, насчитывающим лишь несколько тысяч пользователей.
Увы, многие из этих мелких сайтов не могли похвастаться надежными мерами безопасности, поэтому около трети всех БД Cit0day помечены как dehashed, то есть содержат пароли открытым текстом. Впрочем, многие другие БД из дампа не содержат паролей и помещены как nohash.