AIO APEX
Security

محققان ۲۴ میلیارد اعتبارنامه سرقت‌شده را در یک مخزن ۸.۳ ترابایتی داده‌های infostealer که به‌طور عمومی رها شده بود، کشف کردند

Cybernews
اشتراک‌گذاری:
محققان ۲۴ میلیارد اعتبارنامه سرقت‌شده را در یک مخزن ۸.۳ ترابایتی داده‌های infostealer که به‌طور عمومی رها شده بود، کشف کردند

محققان Cybernews یکی از بزرگ‌ترین انبارهای اعتبارنامه‌های (credential dumps) تاکنون یافت‌شده را کشف کردند: یک خوشه Elasticsearch بدون امنیت که حاوی ۲۴ میلیارد رکورد و مجموعاً بیش از ۸.۳ ترابایت داده است. این مجموعه در ۱۲ ژوئن ۲۰۲۶ پیدا شد و پایگاه داده تا ۱۵ ژوئن از دسترس خارج یا ایمن‌سازی شد. اگرچه پنجره قرارگیری فوری بسته شده است، اما خود داده‌ها – که از لاگ‌های بدافزار infostealer، کانال‌های تلگرام و مجموعه‌های نقض داده‌های موجود گردآوری شده‌اند – همچنان در هر جایی که قبل از کشف به اشتراک گذاشته شده‌اند، در گردش باقی می‌مانند.

مقیاس این نشت، آن را در دسته‌ای جداگانه قرار می‌دهد. مجموعه RockYou2021 در سال ۲۰۲۱ که به‌طور گسترده به‌عنوان بزرگ‌ترین لیست اعتبارنامه‌های منتشرشده ذکر می‌شود، حاوی ۸.۴ میلیارد رکورد بود. انتشار RockYou2024 در سال ۲۰۲۴ آن را به نزدیک ۱۰ میلیارد رساند. با ۲۴ میلیارد رکورد، این مجموعه بیش از دو برابر هر یک از آن‌ها است، و ترکیب آن مهم است: برخلاف مجموعه‌های قدیمی‌تر که بیشتر داده‌های بازیافتی هستند، بخش قابل توجهی از این تخلیه از لاگ‌های تازه infostealer می‌آید، به این معنی که اعتبارنامه‌های اخیراً سرقت‌شده‌ای هستند که هنوز به‌طور گسترده تغییر نکرده‌اند.

لاگ‌های Infostealer چیست و چرا از تخلیه پایگاه داده بدتر هستند

پایگاه‌های داده سنتی نقض (breach databases) حاوی اعتبارنامه‌هایی هستند که هنگام به خطر افتادن یک سرویس خاص سرقت می‌شوند – آن‌ها تمایل به شامل رمزهای عبور هش‌شده دارند که نیاز به شکستن دارند و اغلب تا زمانی که در تخلیه‌ها ظاهر می‌شوند، سال‌ها قدیمی هستند. لاگ‌های infostealer متفاوت هستند. آن‌ها توسط بدافزار در حال اجرا روی دستگاه‌های آلوده تولید می‌شوند: نرم‌افزاری که رمزهای عبور ذخیره‌شده در مرورگر، اعتبارنامه‌های تکمیل خودکار (autofill) و کوکی‌های جلسه (session cookies) را به صورت متن‌ساده در لحظه استفاده‌شان ضبط می‌کند.

این بدان معناست که لاگ‌های infostealer حاوی اعتبارنامه‌های کاری تا تاریخ آلودگی هستند. آن‌ها نیاز به شکستن هش‌ها را دور می‌زنند. آن‌ها اغلب URL ورود مرتبط را شامل می‌شوند و تطبیق رمز عبور با سرویسی که آن را باز می‌کند، بی‌دردسر می‌سازد. و از آنجایی که اعتبارنامه‌ها را از ذخیره‌سازی مرورگر دستگاه آلوده می‌کشند، اغلب رمزهای عبوری را که کاربران سال‌ها تغییر نداده‌اند – آن‌هایی که در مدیر رمز عبور یا تکمیل خودکار مرورگرشان نشسته‌اند و دیگر به آن‌ها فکر نکرده‌اند – ثبت می‌کنند.

۲۴ میلیارد رکورد در این مجموعه از حداقل ۳۶ منبع مختلف گردآوری شده است: کانال‌های مختلف تلگرام که در آن اپراتورهای infostealer لاگ‌ها را می‌فروشند، مجموعه‌های نقض داده‌های موجود، و آنچه محققان به‌عنوان داده‌هایی توصیف می‌کنند که به نظر می‌رسد مستقیماً از سرورهای زنده صادر شده است، که نشان می‌دهد بخشی از داده‌ها بسیار اخیراً فعال بوده است.

چه کسی آن را پیدا کرد و چه اتفاقی افتاد

تیم تحقیقاتی Cybernews این پایگاه داده در معرض دید را در ۱۲ ژوئن به عنوان بخشی از اسکن مداوم برای نمونه‌های ذخیره‌سازی ابری و پایگاه داده در معرض عمومی شناسایی کرد. این خوشه بدون احراز هویت قابل دسترسی بود – یک پیکربندی نادرست که تمام ۸.۳ ترابایت را برای هر کسی که آدرس IP را پیدا کند، قابل خواندن می‌گذاشت. مالک پایگاه داده به‌طور عمومی شناسایی نشده است. محققان حدس می‌زنند که داده‌ها می‌تواند متعلق به یک بازیگر تهدید باشد که از آن به‌عنوان یک پایگاه داده عملیاتی اعتبارنامه استفاده می‌کند، یا یک شرکت امنیتی که داده‌های نقض را برای خدمات نظارتی جمع‌آوری می‌کند – اگرچه قرار گرفتن در معرض متن‌ساده و عدم وجود هرگونه کنترل دسترسی آشکار، نظریه شرکت امنیتی را کمتر محتمل می‌سازد.

این پایگاه داده تا ۱۵ ژوئن، سه روز پس از کشف، ایمن‌سازی یا از دسترس خارج شد. مدت زمان قرار گرفتن بدون حفاظ نامشخص است – می‌توانست روزها یا ماه‌ها باشد.

خطر Credential Stuffing

خطر عملی از این نوع نشت، credential stuffing است: ابزارهای خودکاری که جفت‌های نام کاربری-رمز عبور را از پایگاه‌های داده نقض می‌گیرند و آن‌ها را در مقیاس بزرگ در برابر سرویس‌های زنده آزمایش می‌کنند. سرویس‌های بدون محدودیت نرخ، مسدود کردن IP، یا احراز هویت چندعاملی اجباری آسیب‌پذیرتر هستند.

محققان امنیتی و فروشندگان از جمله Malwarebytes و TechRadar که هر دو افشای Cybernews را پوشش دادند، تأکید می‌کنند که پرخطرترین کاربران کسانی هستند که رمزهای عبور را در بین سرویس‌ها بازنشانی می‌کنند – که طبق اکثر نظرسنجی‌ها، اکثریت کاربران هستند. یک اعتبارنامه در این تخلیه که با رمز عبور بانکی، رمز عبور ایمیل، یا رمز عبور VPN شرکتی یک کاربر مطابقت داشته باشد، بدون توجه به اینکه اعتبارنامه در ابتدا از کجا سرقت شده است، خطر تصاحب فوری حساب را ایجاد می‌کند.

چه باید کرد

توصیه استاندارد اعمال می‌شود و همچنان پاسخ درست است: از یک مدیر رمز عبور برای تولید رمزهای عبور منحصربه‌فرد برای هر سرویس استفاده کنید، احراز هویت چندعاملی را در هر جایی که در دسترس است فعال کنید و مراقب هشدارهای فعالیت حساب از سوی ارائه‌دهندگان ایمیل و مالی خود باشید. انتظار می‌رود خدماتی مانند HaveIBeenPwned داده‌های اعتبارنامه‌ای با این مقیاس را هنگامی که توسط محققان در دسترس قرار می‌گیرد، جذب کنند – در روزهای آینده بررسی آدرس ایمیل خود در آنجا ارزشمند است.

برای تیم‌های امنیتی در سازمان‌ها: این تخلیه باید به‌عنوان یک محرک برای ممیزی اینکه آیا هر یک از اعتبارنامه‌های کارکنان در پایگاه‌های داده نقض عمومی ظاهر می‌شود و اجرای چرخش رمز عبور برای هر تطابق، تلقی شود. با توجه به اینکه داده‌ها از لاگ‌های infostealer گردآوری شده‌اند، اعتبارنامه‌های شرکتی از کارکنانی که دستگاه‌های شخصی آلوده دارند به‌طور ویژه در معرض خطر هستند.

data-breachinfostealerpassword-securitycredential-leakcredential-stuffing

Originally reported by Cybernews. Read the original article for additional details.

View original source
اشتراک‌گذاری: