Семь больших утечек: у кого угоняли пользовательские пароли

Бизнес

В последних числах мая пользователи системы управления контентом Drupal получили пренеприятнейшее известие… Нет, не о приезде ревизора: речь шла о гораздо более серьёзной проблеме — массированной утечке данных. Если конкретнее, то о пользовательских именах, адресах электронной почты, информации о странах проживания и захэшированных паролях.

Хотя расшифровать эти пароли будет не так-то просто, руководство компании Drupal сочло необходимым известить своих клиентов об этом инциденте и порекомендовать сменить пароли как можно скорее.

Что ж, это пример ответственного отношения к ситуации. Ну, а для нас — повод поговорить о массированных утечках последнего времени, поскольку ситуация с Drupal как минимум не единична и не слишком уникальна.

Drupal: неуникальный случай

В сообщении, разосланном пользователям и подписанном заместителем исполнительного директора Drupal Холли Росс, говорится, что служба информационной безопасности компании выявила несанкционированный доступ к информации об учётных записях пользователей на Drupal.org и groups.drupal.org. Взлом был осуществлён через уязвимость в «стороннем ПО, установленном в серверной инфраструктуре Drupal.org», так что утечка произошла исключительно с вышеупомянутых серверов. Пользователи других ресурсов, использующих CMS Drupal — а среди таковых сайты правительства США и журнала Economist, — этот инцидент задеть никак не мог, утверждается в сообщении.

drupal

«Мы внедрили дополнительные меры безопасности с тем, чтобы предотвратить возможность повтора подобных атак и защитить конфиденциальность данных членов нашего сообщества», — говорится в сообщении. Далее идут настоятельные рекомендации поменять пароли, притом, что большинство пользовательских паролей хранились на серверах в хэшированном виде и с солью, а также стандартные советы по обеспечению их безопасности.

Чего в письме не сказано, так это то, что общее количество затронутых паролей составляет порядка миллиона. А это позволяет причислить утечку к числу «весьма массивных». Массивных, но, опять же, не уникальных.

Самой громкой историей последних лет, как известно, стал взлом серверов, принадлежащих Sony, в апреле 2011 года. Взлом затронул десятки миллионов человек, утекли бесчисленные номера кредитных карт, сервис Sony Playstation Network не работал в течение нескольких месяцев, дело дошло до скандального расследования на уровне Конгресса США.

Масштабы «кавалерийского наскока» на сервисы Sony несколько затеняют последующие инциденты, хотя некоторые из них имели весьма серьёзный характер. Давайте кратко пройдёмся по ним и попробуем понять, было ли между ними что-либо общее?

LinkedIn: двойной удар

Почти ровно год назад администрации LinkedIn, профессиональной социальной сети для трудоустройства и поиска кадров, пришлось признать факт утечки 6,5 миллионов паролей. Их хэш-значения были опубликованы на русском хакерском форуме forum.insidepro.com с просьбой о помощи (очевидно, с расшифровкой).

Выложены были только сами хэш-значения, без логинов. Хакеры довольно быстро вскрыли — точнее, подобрали, — порядка 60% паролей по хэш-значениям. Как выяснилось, пароли были зашифрованы с помощью алгоритма SHA1 и хранились без «соли», что значительно облегчило взломщикам задачу. «Несолёные» хэши — это уже отступление от установившейся практики, так что обвинения в халатности в адрес LinkedIn имеют под собой определённую почву.

Следствием взлома стала как минимум одна фишинговая рассылка пользователям LinkedIn. Каким именно образом злоумышленникам удалось пролезть на сервер и добраться до базы данных, до конца неясно; по мнению специалистов компании Rapid7, злоумышленники пытались пробиться к интересующим их данным на протяжении нескольких дней как минимум.

Практически сразу после известия о взломе вокруг LinkedIn разгорелся ещё один скандал: оказалось, что его клиент для мобильной операционной системы iOS передаёт на серверы LinkedIn информацию из приложения «Календарь»/Calendar вообще в незашифрованном виде, а это, теоретически, ещё одна большая дыра в безопасности. С вышеописанным взломом это, правда, никак не связано.

Formspring (июль 2012)

В начале июля 2012 года 28 миллионов пользователей социального ресурса Formspring получили извещения о том, что их старые пароли деактивированы и необходимо выбрать новые.

В сообщении самой компании Formspring указывается, что кто-то смог найти уязвимость в тестовом сервере разработок (development server), а затем информацию о нём использовал для получения доступа к основной базе данных. Утекли — и всплыли, опять-таки, на каком-то «форуме по информационной безопасности» хэш-значения 420 тысяч паролей.

Для шифрования Formspring использовал алгоритм SHA-256 (разновидность SHA-2), хэш-значения были разбавлены «солью», и тем не менее руководство Formspring сочло необходимым сменить алгоритм на более надёжный bcrypt.

Yahoo! (июль 2012, январь 2013)

Хакерская группа D33Ds Co. демонстративно выложила логины-пароли к почтовым ящика сервиса Yahoo, которые удалось стащить с ресурса Yahoo Voices с помощью SQL-инжекции. Что означало очень слабую защиту атакованного сервера. Особую, так сказать, пикантность ситуации придавал тот факт, что логины и пароли хранились вообще в незашифрованном виде. Причём опубликованной оказалась информация далеко не только о ящиках Yahoo: адреса и пароли на Gmail, Hotmail, AOL также оказались в общем доступе. Дело в том, что Yahoo Voices создавался изначально независимым ресурсом Associated Content для аккумуляции любительского контента. Yahoo купил его в 2010 году за 100 миллионов долларов.

Хакеры утверждали, что хотели лишь покарать Yahoo за небрежение к мерам предосторожности, а не ради того, чтобы кому-то напакостить. Со своей стороны, Yahoo заявил, что лишь 5% утекших пар логинов-паролей оставались действительными.

Уже с января 2013 года пошла серия новых взломов почты с помощью самых разных методов. Хакеры несколько раз использовали межсайтовый скриптинг, перед которым оказался уязвим сервер веб-почты; последний раз — в апреле, притом, что ещё в январе руководители Yahoo утверждали, что эта брешь устранена. Впрочем, уязвимостей скорее всего было несколько. Например, в феврале появилась информация об отдельной атаке на Yahoo, использовавшую уязвимость в CMS WordPress, на котором функционирует блог для разработчиков Yahoo! Developers Blog. В ходе атаки использовался также вредоносный JavaScript и, опять-таки, межсайтовый скриптинг.

Неофициальный источник внутри Yahoo заявил:

«Множество аккаунтов Yahoo! Mail были взломаны на прошлой неделе с помощью компьютеров по всему миру. Похоже, использовался ботнет. Хакеры могли получить доступ к некоторым аккаунтам через клиент Yahoo! Mail для Apple iPhone, поскольку логи систем безопасности указывают, что это была одна из входных точек для взломщиков».

Продолжение следует…