На прошлой неделе хактивисты Anonymous взломали базу данных доменного регистратора и хостера Epik, который ранее часто подвергался критике из-за того, что размещал у себя «правые» сайты, включая 8chan, Gab, Parler и The Donald. Похищенные данные (более 180 Гб) были опубликованы в формате торрента и, по данных хакеров, содержат информацию за последнее десятилетие.
Так как в компании тогда отрицали факт взлома, хакеры посмеялись над Epik и дополнительно взломали базу знаний хостера, добавив в нее собственные издевательские правки.
Как теперь сообщает издание ArsTechnica, в общей сложности опубликованный хакерами дамп содержал 15 003 961 адрес электронной почты, которые принадлежат как клиентам Epik, так и людям, которые не имели никаких дел с этой компанией. Журналисты объясняют, что Epik скрэйпил записи WHOIS доменов, включая те, что не принадлежали компании, и хранил эти записи у себя. В итоге контактная информация людей, которые никогда не взаимодействовал с Epik напрямую, тоже хранилась компанией.
Агрегатор информации об утечках данных HaveIBeenPwned уже начал рассылать предупреждения миллионам пострадавших, чьи email-адреса оказались скомпрометированы. Одним из пострадавших оказался сам основатель этого сервиса, Трой Хант, хотя он никогда не имел никакого отношения к Epik.
В ходе опроса, проведенного в Twitter, Хант спросил у своих подписчиков, хотят ли пострадавшие пользователи, не являющиеся клиентами Epik, получать уведомления о нарушениях. Большинство ответили на вопрос утвердительно.
Processing the Epik breach and there's *lots* of email addresses taken from other places, for example stored copies of WHOIS records. If your address is in there - even if you didn't subscribe to the service - do you want @haveibeenpwned to notify you that they have your address?
— Troy Hunt (@troyhunt) September 17, 2021
«В результате утечки был обнаружен огромный объем данных не только о клиентах Epik, но также записи WHOIS, принадлежащие частным лицам и организациям, которые не были клиентами компании», — пишет HaveIBeenPwned. — Эти данные включают более 15 млн уникальных email-адресов (включая анонимные для обеспечения приватности домена), имена, номера телефонов, физические адреса и пароли, хранящиеся в различных форматах».
Журналисты ArsTechnica отмечают, что видели часть файла whois.sql, чей размер составляет примерно 16 Гб. Он заполнен email-адресами, IP-адресами, доменами, физическими адресами и номерами телефонов пользователей. При этом некоторые записи WHOIS явно устарели и содержат неверную информацию о владельцах доменов (люди более не владеют этими активами).
Как пишут ИБ-специалисты Эмили Горченски и Адам Скулторп, представители Epik наконец признали факт взлома и теперь уведомляют своих клиентов о «несанкционированном вторжении» в свои системы. В компании призывают клиентов сохранять бдительность и наблюдать за любой информацией, которую они использовали во время работы с сервисами компании (включая платежную информацию, номера кредитных карт, имена, имена пользователей, адреса электронной почты и пароли).
Хотя пока в компании не знают точно, подверглись ли компрометации данные банковских карт клиентов, в качестве меры предосторожности пользователям советуют «связаться с компаниями, выпустившими банковские карты, использованные для транзакций с Epik, и уведомить их о потенциальной компрометации данных».
