Semaine de la sécurité 23: fuite de mot de passe LiveJournal

Le mercredi 27 mai, le service Haveibeenpwned , qui suit les fuites de mots de passe des utilisateurs, dispose d'une base de données de connexions et de mots de passe des utilisateurs pour le service LiveJournal. La fuite de données aurait eu lieu en 2014.

Cependant, selon Troy Hunt, le fondateur du service Haveibeenpwned, il a reçu des preuves de la présence dans la base de données des comptes créés plus tard. À en juger par une partie de la base de données publiée sur le site Web de Bleeping Computer , environ 30 millions d'utilisateurs ont eu un accès ouvert aux adresses e-mail, aux liens vers les profils et les mots de passe en texte brut. Initialement, les mots de passe étaient censés être représentés comme des hachages MD5. Les

rumeurs sur la fuite de la base de données de mots de passe LiveJournal allél'année dernière. Bien que les représentants de l'hébergement de blogs n'aient pas signalé de piratage, l'authenticité des données a été confirmée, y compris par les propriétaires du service Dreamwidth . Cette plate-forme, basée sur une base de code similaire, était souvent utilisée à un moment pour copier des blogs. Du côté de Dreamwidth, ils ont confirmé une augmentation du nombre d'attaques de bourrage d'informations d'identification lorsque de nombreux comptes tentent de pirater les mots de passe d'un autre service. La publication sur le site Web Bleeping Computer décrit de manière suffisamment détaillée comment les attaquants utilisent les fuites de mots de passe.

Une autre fuite est une bonne raison de regarder la situation de l'utilisateur. L'un des auteurs du résumé a reçu une notification du service Troy Hunt. Vous pouvez également vérifier (si vous lui faites confiance) s'il existe un mot de passe spécifique dans la base de données des fuites - le mot de passe actuel pour LJ n'est pas trouvé de cette manière. Dans le cas général, si au cours des deux dernières années, vous avez changé le mot de passe sur LiveJournal ou un autre service qui a souffert de la fuite de la base de données de mots de passe, vous êtes presque en sécurité.

Pourquoi presque? Le fait est que l'ancien mot de passe peut convenir à d'autres services si vous l'avez réutilisé ou si vous avez oublié depuis longtemps que vous vous êtes inscrit sur un site. L'exemple avec Dreamwidth est indicatif: à une époque, il était à la mode de sauvegarder le journal de ce service, gratuitement et en quelques clics. Il est facile d’oublier une telle copie et il semble que les attaquants puissent y accéder. Les blogs abandonnés depuis longtemps qui pourraient être vandalisés sont particulièrement en danger. La fuite d'informations personnelles à partir de postes de verrouillage n'est pas non plus un scénario agréable.

Bleeping Computer mentionne d'autres exemples d'attaques. En plus de pirater des comptes sur le service concerné, des mots de passe sont utilisés pour le chantage dans les courriers indésirables. Scénario typique: vous recevez une lettre avec un message sur le piratage présumé de votre ordinateur, le mot de passe de la base de données des fuites est donné comme preuve. Les utilisateurs qui utilisent le même mot de passe pour tout et qui ne l'ont jamais changé sont les plus à risque: chaque incident de ce type augmente les risques de fuite totale de données personnelles, jusqu'au vol de fonds d'un compte bancaire.

LiveJournal n'est pas le seul service dont les bases de données d'informations utilisateur ont été partagées. À différents moments, dans la catégorie conditionnelle des réseaux sociaux, des mots de passe ont été volés aux services 500px en 2018, AdultFriendFinder et Badoo en 2016, imgur en 2013, LinkedIn et Last.fm en 2012. Une fuite dans LiveJournal se distingue par une longue vitesse d'obturation: après le piratage, qui s'est produite dans la période de 2014 à 2017, les mots de passe des utilisateurs ne sont pas tombés dans l'accès public avant mai 2020.

Bien entendu, cela n'empêche pas la revente d'informations sur le marché noir. La protection des utilisateurs dépend largement des fournisseurs de services numériques, et il ne reste ici qu'à souhaiter, si possible, à tous de ne pas stocker les mots de passe en texte clair. Mais la réalité est que les utilisateurs doivent agir. Utiliser des mots de passe il y a trois ans n'importe où n'est clairement pas une bonne idée.

Que s'est-il passé d'autre:
une étude intéressanteKaspersky Lab lors d'une attaque contre des entreprises industrielles. La publication traite de la phase initiale de ces attaques - les tentatives de pénétration de l'infrastructure réseau traditionnelle, pas très différentes des autres. L'attaque décrite est clairement ciblée, des e-mails de phishing avec des pièces jointes malveillantes (fichier XLS avec des macros) et - de manière inattendue - de la stéganographie sont utilisés: le script télécharge l'image depuis l'hébergement public afin de contourner les moyens de protection et en décode la prochaine étape des logiciels malveillants.

La dernière version du jailbreak UnC0ver pour les appareils iOS fonctionne même avec les appareils exécutant iOS 13.5. Les auteurs de l'outil de piratage mentionnent la présence d'une vulnérabilité zero-day.

Les spécialistes de Radware ont effectué une analyseBotnet Hoaxcalls. Contrairement à de nombreuses autres opérations criminelles de piratage de masse de routeurs réseau et d'autres appareils, il n'utilise pas le craquage de mot de passe, mais un ensemble d'exploits pour les vulnérabilités courantes des logiciels intégrés. Un autre botnet utilise le système de collecte de télémétrie légitime de la société chinoise Baidu pour transférer les données des systèmes infectés vers le serveur de commande.

La division de sécurité de Microsoft met en garde contre un groupe de ransomwares connu sous le nom de Ponyfinal. Elle est spécialisée dans les objectifs d'entreprise. Le schéma d'attaque a des motifs familiers: piratage de mots de passe faibles, contrôle manuel des victimes, vol de données avant cryptage. Ce dernier permet d'exiger une rançon à deux reprises - pour restaurer des informations et pour qu'elles ne soient pas rendues publiques.

Une étude intéressante de Veracode ( actualités , source en PDF). Après avoir analysé 85 000 applications, 70% d'entre elles ont trouvé certains bogues précédemment découverts dans les composants open source. Les développeurs de logiciels de masse mobiles et de bureau utilisent du code distribué librement pendant le développement, mais ne ferment pas toujours les vulnérabilités connues dans leurs versions.