Подробности Вероломного Взлома Gmail и Yandex - Интервью с Основателем Форума BTCsec.com

Ivan Tikhonov is the founder of the BTCsec.com and Bitcoin expert. Moreover, he is a Bitcoin activist since 2011, and helps people learn about Bitcoin technology and benefits. We were able to get an exclusive interview with him.

5 Total views
88 Total shares
Interview With BTCsec Founder, The Forum That Published the Gmail Hack

Иногда только дерзкие кибер-атаки заставляют подумать о защите нашей частной информации и виртуальной жизни. На прошлой неделе стало известно о краже адресов и паролей нескольких служб электронной почты почти у 5-ти миллионов пользователей. Список взломанных адресов был опубликован на одном из самых популярных форумов о криптовалюте на русском языке - BTCsec.com.

9 сентября некий пользователь форума BTCSec.com под псевдонимом «tvskit» сообщил об утечке 28,7 мб файла содержащего 4,92 миллионов паролей и логинов от почтовой службы Google и несколько тысяч данных из Яндекс почты. Пользователь, выложивший данные, утверждает, что больше 60% данных —  действительны. Администрация форума удалила все пароли из файла однако оставила все логины, объяснив, что любой может проверить есть ли в списке их данные.

Это не первый взлом и слив информации в сети, но масштабы этой атаки поражают. Кто это сделал, зачем и была ли это единственная утечка или хакеры собирали всю эту информацию в течение многих лет?

Мы смогли взять интервью у основателя сайта BTCsec.com и Биткоин эксперта Ивана Тихонова, и вот как он прокомментировал случившееся:

Публикация стольких данных просто шокирует. Как такое могло случиться. Может это брешь в системе электронной почты или же информация просочилась со стороннего сервиса. И как кто-то мог получить такой доступ? Как Вы отреагировали на такой список и может Вы знаете, кто стоит за этим взломом?

Иван Тихонов: Рынок продаж баз email адресов существовал и ранее, просто не было таких масштабных сливов баз в публичный доступ. BTCsec.com не является первоисточником этих баз, но мы одни из первых выложили их в публичный доступ, удалив пароли. Это сделано для того, чтобы люди могли проверить, попали ли их почтовые ящики в эти списки или нет, при этом отсутствие паролей исключает возможность воспользоваться базами злоумышленниками.

Основная цель публикаций была достигнута: широкий резонанс, статьи в СМИ, репортажи по телевидению. Пользователи обратили внимание на безопасность своих данных, почтовые сервисы отреагировали блокировками сомнительных и взломанных аккаунтов.

Если же говорить о первоисточнике баз – то явно это не утечка из одного источника, а сборные базы из разных источников и утечки разных лет. Если база Yandex на момент публикации была вполне актуальная, то база Google была валидна только на 60%, при этом в ней попадались адреса Yandex, Yahoo и не только, некоторые пароли никогда не использовались на указанных ящиках по заявлениям их владельцев, а некоторые были сильно устаревшие, например, смененные 8-10 лет назад. Хотя стоит отметить, что были и актуальные данные.

Я разговаривал со многими людьми, которые обнаружили свои данные в базах. И интересными даже оказались не те случаи, когда пароль от ящика подходил, или ранее использовался с этим аккаунтом, но случаи, когда пароль с почтовым аккаунтом никогда не использовался, но пользователи признавали, что это пароль, который они используют на других сайтах.  Чаще всего это были пароли для каких-то одноразовых регистраций на сомнительных сайтах. Иногда пользователи говорили, что они использовали этот пароль на сомнительных сайтах, но никогда не вводили на них указанный в базе email. Из этого можно сделать два возможных вывода: первый - пользователи ошибаются, так как многие не смогли вспомнить и назвать сервисы, где использовался этот пароль. Второй - что алгоритмы сбора данных злоумышленниками совершенствуются, и сейчас они уже умеют связывать разнородные данные, полученные из разных источников в одну базу.

Также анализ самих паролей показал, что в базе присутствовали как очень простые пароли типа 123456 или qwerty123, так и сложные, которые брутфорсом или атакой по словарю не подобрать.  То есть часть базы могла быть составлена путем прогона спамерских баз по словарю с наиболее часто использующимися паролями, часть могла попасть с взломанных ресурсов, часть – украдена с помощью фишинга, троянов и прочего вредоносного ПО.

Недавно была череда громких взломов с использованием ошибки в библиотеке OpenSSL, так называемый  Heartbleed, не исключено, что часть данных для баз была собрана с помощью этой ошибки.

Сейчас есть много способов обмануть пользователя. Для примера могу рассказать один из них: мошенники создают сайт, который выглядит как вполне приличный ресурс. Пользователь заходит на него не чувствует подвоха и переключается на другие вкладки в браузере. Когда сайт мошенников понимает, что пользователь смотрит другие вкладки, он изменяет свое содержимое на копию какого-нибудь сервиса, от которого злоумышленники хотят получить доступ. Пользователь держит в голове, что все последние вкладки у него опасений не вызывают, и переключившись на вкладку такого сайта чаще всего вбивают свои реальные данные для доступа не посмотрев на адресную строку, наличие сертификата и другие признаки, которые могут выдать мошенников. После получения нужной информации сайт мошенников перекидывает пользователя на настоящий сайт сервиса, и пользователь даже не понимает, что у него только что украли данные.

Вы верно отметили. Интересно, что несколько моих знакомых нашли свои адреса в списке, но признались – это были их адреса однодневки. Однако это происшествие заставило их задуматься – как защитить свою почту?

Иван Тихонов: Информация о самой первой базе Yandex после размещения на форуме «Яндекс - внимание, меняй пароль!»  желаемого эффекта не получила, но я увидел довольно бурную реакцию на  сайте habrahabr.ru  после появления через сутки там заметки от некого пользователя «lagudal». Поэтому после публикации баз Mail.ru  и Gmail.com я тоже стал создавать там топики:

Это помогло. На проблему действительно обратили внимание.

Но многих мучают сомнения - зачем кто-то решил слить почти 5 миллионов паролей к адресам в Сеть сейчас? И нет ли какой-то подоплеки в том, что это преимущественно данные русскоговорящих пользователей?

Иван Тихонов: Почему эти базы стали широко распространяться именно сейчас у меня нет точного ответа, спланированная ли это была утечка или спонтанная. Насчет Yandex и Mail.ru  я согласен, что основная их аудитория русскоязычная. Но наиболее крупная база Gmail.com была общемировой. Мне писали люди со всех уголков планеты с просьбами проверить их адреса. Плюс есть базы менее известных зарубежных сервисов, которые тоже утекли в сеть, но получили меньшую огласку.

Я читал много предположений о том, что это запланированный слив для дальнейшего затягивания гаек, например, чтобы принимать законы об обязательной идентификации по номеру телефона или вообще пересадить всех на свежесозданный государственный почтовый сервис. Исключать полностью я бы такие варианты не стал, но отмечу, что у нас очень популярны конспирологические теории, даже слишком популярны. Я бы не стал объяснять заговорами то, что объясняется банальной глупостью или неосторожностью.

Как Вы считаете – может это как раз тот случай, когда мы можем взглянуть на заложенную в технологии Биткоин систему защиты и анонимности, и сравнить её с зачастую архаичной системой регистрации, логинов и паролей на различных сайтах?

Иван Тихонов:  Насчет же усиления идентификации, я думаю, что это вполне ожидаемый шаг, и не в связи с утечками. Если посмотреть на последние, принимаемые законы в РФ, то четко видно их направление. Перечислю несколько: обязательная идентификация пользователей сетей, запрет анонимного Wi-Fi. Запрет переводов средств между неперсонифицированными счетами граждан и увеличение лимитов на переводы между персонифицированными. Проект закона о приравнивании виртуальных валют к денежным суррогатам и их запрет. Регистрация и раскрытие данных популярных блогеров и сайтов. Есть и другие, но вектор виден однозначно - законы направлены на большую прозрачность и деанонимизацию граждан. Поэтому я не удивлюсь, если введут на каких-то сервисах обязательную упрощенную идентификацию с помощью проверки номера мобильного телефона.

Если же говорить о том, чем может помочь технология Bitcoin в данном случае, то я давно говорил о том, что нужно больше децентрализованных сервисов. Конечно, человеческий фактор не исключается, но это может помочь против крупных утечек при взломе больших централизованных сервисов. Первые шаги в этом плане есть, взять тот же bitmessage, но этой технологии еще развиваться и развиваться. Я бы хотел видеть нечто объединяющее функциональность Gmail и Skype на децентрализованной основе. Такой продукт просто обречен на популярность.

Вам понравилась эта статья? Рекомендуем прочитать наши предыдущие публикации: