Больше не твои документы. Как выглядят облачные хранилища глазами хакера

Вла­дель­цы круп­ных фай­лооб­менни­ков совер­шенс­тву­ют защиту дан­ных и обыч­но пред­лага­ют двух­фактор­ную аутен­тифика­цию, но вари­ант с обыч­ными логином и паролем по‑преж­нему дос­тупен и широко исполь­зует­ся. Игра­ет ли это на руку хакерам? Опре­делен­но.

Спо­собов взло­ма мно­го: фишинг, сти­леры, перебор пароля и даже высоко­тех­нологич­ные ата­ки на про­вай­деров и опе­рато­ров сотовой свя­зи, ког­да перех­ватыва­ют коды под­твержде­ния. Но чаще все­го при­меня­ется метод credential stuffing — ког­да для вхо­да исполь­зуют­ся учет­ные дан­ные из утек­ших баз. Люди ведь не любят при­думы­вать раз­ные пароли для раз­ных сер­висов, а менед­жер паролей пока так и оста­ется тех­нологи­ей для прод­винутых поль­зовате­лей.

Почем чужие пароли?

Ко­неч­но же, учет­ными дан­ными активно тор­гуют в злач­ных угол­ках интерне­та. Я обо­шел пять таких мес­течек, что­бы изу­чить пред­ложение и цены. В сред­нем они такие:

• 300–350 дол­ларов за мил­лион ком­бинаций логин‑пароль или поч­та‑пароль;
• 400–500 дол­ларов за мил­лион ком­бинаций из кор­поратив­ных поч­товых ящи­ков и паролей к ним. Потен­циаль­но это наибо­лее лакомый кусочек для мошен­ников;
• 250 дол­ларов за мил­лион ком­бинаций в «мик­сован­ных базах», где могут попадать­ся любые домены.

Впро­чем, быва­ет как дешев­ле, так и дороже. А еще час­то попада­ются сами сли­тые базы, но раз­гре­бать гигант­ские дам­пы — отдель­ное неп­ростое занятие.

И конеч­но, вов­сю про­дают­ся сти­леры, при помощи которых мож­но зав­ладеть чужими учет­ками. Нап­ример, сти­лер AZORult сто­ит 100 дол­ларов, а UFR Stealer все­го в рай­оне 20–50.

Что в облачке лежит

К нам в руки попало нес­коль­ко учет­ных записей, подоб­ных тем, что про­дают­ся на под­поль­ных форумах. Они были отоб­раны спе­циаль­но, поэто­му все они откры­вались и во всех из них что‑нибудь да лежало. Сей­час мы с тобой заг­лянем туда. Естес­твен­но, исклю­читель­но в иссле­дова­тель­ских целях. Заходя в акка­унты, я лишь делал скрин­шоты, что­бы про­демонс­три­ровать типич­ное содер­жимое.

Пример 1. Заброшка

Пе­ред нами акка­унт Dropbox, соз­данный в Гер­мании. Внут­ри две пап­ки: одна пус­тая, в дру­гой — фотог­рафии авто­моби­лей и докумен­тов, веро­ятно свя­зан­ных с пов­режде­ниями этих авто­моби­лей. Все­го 161 сни­мок; пос­леднее изме­нение датиру­ется нояб­рем 2020 года.

Взлом­щику или шан­тажис­ту здесь ловить, ско­рее все­го, нечего, к тому же никакой активнос­ти на этом акка­унте уже дав­но нет, а зна­чит, веро­ятно, он заб­рошен. Как, по всей видимос­ти, и доб­рая полови­на про­дающих­ся уче­ток.

По­чему люди заб­расыва­ют свои хра­нили­ща? При­чин может быть мно­жес­тво, но самая рас­простра­нен­ная — это забытый пароль и нежела­ние копать­ся с его вос­ста­нов­лени­ем. Зато лич­ные дан­ные про­дол­жат там лежать годами.

Пример 2. Чужие паспорта

Сно­ва Dropbox, и содер­жимое на этот раз более занима­тель­ное.

Речь, конеч­но, не о фотог­рафи­ях вла­дель­ца, рас­сека­юще­го снег на сно­убор­де. Речь — о целом скла­де докумен­тов, явно при­над­лежащих не ему и не чле­нам его семьи.

Слож­но ска­зать, как вла­делец акка­унта соб­рал все это и с какой целью хра­нит. Воз­можно, он имел на это пол­ное пра­во. Но неп­рият­но здесь дру­гое: мысль о том, что ска­ны тво­его пас­порта или водитель­ско­го удос­товере­ния могут попасть (и регуляр­но попада­ют) в руки людям, которые не слы­шали об эле­мен­тарных мерах безопас­ности.

Пример 3. Кредитка

За­кинуть в Dropbox фотог­рафии вечери­нок — впол­не нор­маль­ная идея. А вот добав­лять к этой кол­лекции кре­дит­ную кар­ту, да еще и сфо­тог­рафиро­ван­ную с обе­их сто­рон... мяг­ко говоря, не очень.

В той же пап­ке лежал ворох докумен­тов хозяй­ки и дей­ству­ющий QR-код груп­пы в WhatsApp. Прав­да, все­го с одним учас­тни­ком. Заг­лядывать я пос­теснял­ся.