セキュリティウィーク23：LiveJournalパスワードリーク

5月27日水曜日、ユーザーパスワードリークを追跡するHaveibeenpwnedサービスには、LiveJournalサービスのユーザーログインとパスワードのデータベースがあります。 2014年にデータ漏えいが発生したとされています。

しかし、Haveibeenpwnedサービスの創設者であるトロイハントによると、彼は後で作成されたアカウントのデータベースに存在する証拠をいくつか受け取りました。Bleeping Computerの Webサイトで公開されているデータベースの一部から判断すると、約3,000万人のユーザーが、電子メールアドレス、プロファイルへのリンク、プレーンテキストのパスワードにオープンアクセスできました。当初、パスワードはMD5ハッシュとして表されることになっていた。

LiveJournalのパスワードデータベースのリークについての噂は行きました去年に戻った。ブログホスティングの代表者はハッキングを報告していませんが、Dreamwidthサービスの所有者を含め、データの信頼性は確認されています。このプラットフォームは、同様のコードベースに基づいており、一度にブログのコピーに使用されていました。 Dreamwidth側では、多くのアカウントが別のサービスからのパスワードを解読しようとしたときに、クレデンシャルスタッフィング攻撃の増加を確認しました。 Bleeping ComputerのWebサイトにある出版物には、攻撃者がパスワードリークをどのように使用するかが詳しく説明されています。

もう1つのリークは、ユーザー側の状況を確認するのに適した理由です。ダイジェストの作成者の1人がTroy Huntサービスから通知を受け取りました。また、（信頼できる場合は）リークデータベースに特定のパスワードがあるかどうかを確認することもできます。この方法では、LJの現在のパスワードが見つかりません。一般的なケースでは、過去2年間にLiveJournalまたはパスワードデータベースリークが発生した別のサービスでパスワードを変更した場合、ほとんど安全です。

なぜほとんど？事実、古いパスワードを再利用したり、あるサイトで登録したことを長い間忘れたりした場合、他のサービスに適している可能性があります。 Dreamwidthの例は目安です。かつては、このサービスの日記を無料で数回クリックするだけでバックアップするのが流行でした。そのようなコピーを忘れるのは簡単であり、攻撃者はそのコピーにアクセスできることがわかりました。破壊された可能性のある長期放置されたブログは特に危険です。サブロックの投稿から個人情報を漏らすことも、楽しいシナリオではありません。

Bleeping Computerは他の攻撃例について言及しています。影響を受けるサービスのアカウントをハッキングすることに加えて、パスワードはスパムメーリングのブラックメールに使用されます。典型的なシナリオ：コンピューターのハッキングの疑いに関するメッセージを含む手紙を受け取り、漏洩のデータベースからのパスワードが証拠として与えられます。すべてに同じパスワードを使用し、パスワードを変更したことがないユーザーは、最も危険にさらされています。このような事件のたびに、銀行口座からの資金の盗難まで、個人データが完全に漏洩する可能性が高くなります。

LiveJournalは、ユーザー情報データベースが共有されている唯一のサービスではありません。ソーシャルネットワークの条件付きカテゴリでは、さまざまなタイミングで、2018年にサービス500px、2016年にAdultFriendFinderとBadoo、2013年にimgur、LinkedIn、Last.fmからパスワードが盗まれました。 2014年から2017年の期間に発生したユーザーパスワードは、2020年5月まで公開されませんでした。

もちろん、これは闇市場での情報の転売を妨げるものではありません。ユーザーの保護はデジタルサービスプロバイダーに大きく依存します。ここでは、パスワードをクリアテキストで保存しないでください。しかし、実際にはユーザーが行動を起こす必要があります。 3年前にどこでもパスワードを使用することは、明らかに良い考えではありません。

他に何が起こったのか：
興味深い研究工業企業への攻撃に関するカスペルスキー研究所。この出版物は、このような攻撃の初期段階を扱っています。他のものとそれほど変わらない、従来のネットワークインフラストラクチャに侵入する試みです。説明されている攻撃は明らかに標的にされており、悪意のある添付ファイル（マクロを含むXLSファイル）を含むフィッシングメールと、予期せずにステガノグラフィが使用されます。スクリプトは、保護手段をバイパスしてマルウェアの次の段階をデコードするためにパブリックホスティングから画像をダウンロードします。

iOSデバイス用UnC0ver脱獄の最新バージョンが動作する iOSの13.5を実行しているデバイスでさえも。ハックツールの作成者は、ゼロデイ脆弱性の存在に言及しています。

ラドウェアのスペシャリストが分析を実施ボットネットのデマコール。ネットワークルーターやその他のデバイスを大量にハッキングする他の多くの犯罪活動とは異なり、パスワードクラッキングは使用しませんが、組み込みソフトウェアの一般的な脆弱性を悪用する一連のエクスプロイトを使用します。別のボットネットは、中国の会社Baidu の正当なテレメトリ取得システムを使用して、感染したシステムからコマンドサーバーにデータを転送します。

マイクロソフトのセキュリティ部門は、Ponyfinalと呼ばれるランサムウェアグループについて警告しています。彼女は企業目標を専門としています。攻撃スキームには、よく知られた動機があります。弱いパスワードのハッキング、被害者の手動制御、暗号化前のデータ盗難です。後者は、身代金を2回要求することを可能にします-情報を復元するため、そしてそれが公開されないようにします。

Veracodeによる興味深い研究（ニュース、PDFのソース）。85千のアプリケーションを分析した後、70％の人が以前にオープンソースコンポーネントで発見された特定のバグを発見しました。モバイルおよびデスクトップの大規模ソフトウェアの開発者は、開発中に自由に配布されたコードを使用しますが、ビルドの既知の脆弱性を常にクローズするとは限りません。