Semana 23 de Segurança: vazamento de senha do LiveJournal

Na quarta-feira, 27 de maio, o serviço Haveibeenpwned , que rastreia vazamentos de senha de usuário, possui um banco de dados de logins e senhas de usuário para o serviço LiveJournal. O vazamento de dados ocorreu em 2014.

No entanto, de acordo com Troy Hunt, o fundador do serviço Haveibeenpwned, ele recebeu algumas evidências da presença no banco de dados de contas criadas posteriormente. A julgar por uma parte do banco de dados publicada no site Bleeping Computer , cerca de 30 milhões de usuários tiveram acesso aberto a endereços de email, links para perfis e senhas em texto simples. Inicialmente, as senhas deveriam ser representadas como hashes MD5.

Os rumores sobre o vazamento do banco de dados de senhas do LiveJournal foram divulgados.de volta no ano passado. Embora os representantes do blog não tenham denunciado hackers, a autenticidade dos dados foi confirmada, inclusive pelos proprietários do serviço Dreamwidth . Essa plataforma, baseada em uma base de código semelhante, costumava ser usada ao mesmo tempo para copiar blogs. No lado da largura de sonho, eles confirmaram um aumento no número de ataques de preenchimento de credenciais quando muitas contas tentam quebrar as senhas de outro serviço. A publicação no site Bleeping Computer descreve em detalhes suficientes como os invasores usam vazamentos de senha.

Outro vazamento é um bom motivo para analisar a situação por parte do usuário. Um dos autores do resumo recebeu uma notificação do serviço Troy Hunt. Lá você pode verificar (se confiar nele) se existe uma senha específica no banco de dados de vazamentos - a senha atual do LJ não é encontrada dessa maneira. Geralmente, se nos últimos anos você alterou a senha no LiveJournal ou outro serviço que sofreu um vazamento no banco de dados de senhas, você está quase seguro.

Por que quase? O fato é que a senha antiga pode ser adequada para outros serviços se você a tiver reutilizado ou se tiver esquecido há muito tempo que se registrou em algum site. O exemplo com a Dreamwidth é indicativo: uma vez estava na moda fazer backup do diário neste serviço, de graça e com apenas alguns cliques. É fácil esquecer essa cópia, e os invasores podem ter acesso a ela. Blogs há muito abandonados que podem ser vandalizados estão em perigo. O vazamento de informações pessoais de postagens de sub-bloqueio também não é um cenário agradável.

Bleeping Computer menciona outros exemplos de ataques. Além de invadir contas no serviço afetado, as senhas são usadas para chantagem nas correspondências de spam. Cenário típico: você recebe uma carta com uma mensagem sobre a suposta invasão do seu computador, a senha do banco de dados de vazamentos é fornecida como prova. Os usuários que usam a mesma senha para tudo e nunca a alteraram correm maior risco: cada incidente aumenta as chances de vazamento total de dados pessoais, até o roubo de fundos de uma conta bancária.

O LiveJournal não é o único serviço cujos bancos de dados de informações do usuário foram compartilhados. Em momentos diferentes, na categoria condicional das redes sociais, as senhas foram roubadas dos serviços 500px em 2018, AdultFriendFinder e Badoo em 2016, imgur em 2013, LinkedIn e Last.fm em 2012. Um vazamento no LiveJournal é distinguido por uma longa velocidade do obturador: após o hack, que ocorreu no período de 2014 a 2017, as senhas dos usuários não caíram no acesso público até maio de 2020.

Obviamente, isso não impede a revenda de informações no mercado negro. A proteção do usuário depende em grande parte dos provedores de serviços digitais, e aqui resta apenas desejar a todos, se possível, que não armazenem senhas em texto não criptografado. Mas a realidade é que os usuários precisam agir. Usar senhas há três anos em qualquer lugar claramente não é uma boa ideia.

O que mais aconteceu:
Um estudo interessanteKaspersky Lab em um ataque a empresas industriais. A publicação lida com o estágio inicial de tais ataques - tentativas de penetrar na infraestrutura de rede tradicional, não muito diferente das outras. O ataque descrito é claramente direcionado, e-mails de phishing com anexos maliciosos (arquivo XLS com macros) e - inesperadamente - esteganografia são usados: o script baixa a imagem da hospedagem pública, a fim de ignorar os meios de proteção e decodificar a próxima etapa do malware.

A versão mais recente do jailbreak UnC0ver para dispositivos iOS funciona mesmo com dispositivos executando o iOS 13.5. Os autores da ferramenta de hackers mencionam a presença de alguma vulnerabilidade de dia zero.

Os especialistas da Radware conduziram uma análiseBotnet Hoaxcalls. Ao contrário de muitas outras operações criminosas de invasão em massa de roteadores de rede e outros dispositivos, ele não usa quebra de senha, mas um conjunto de explorações para vulnerabilidades comuns em software incorporado. Outra botnet usa o sistema legítimo de coleta de telemetria da empresa chinesa Baidu para transferir dados dos sistemas infectados para o servidor de comando.

A divisão de segurança da Microsoft alerta para um grupo de ransomware conhecido como Ponyfinal. Ela é especialista em objetivos corporativos. O esquema de ataque tem motivos familiares: invadir senhas fracas, controle manual de vítimas, roubo de dados antes da criptografia. Este último torna possível exigir um resgate duas vezes - para restaurar informações e para que não sejam tornadas públicas.

Um estudo interessante da Veracode ( notícias , fonte em PDF). Depois de analisar 85 mil aplicativos, 70% deles encontraram certos erros descobertos anteriormente em componentes de código aberto. Os desenvolvedores de software em massa para dispositivos móveis e desktops usam código distribuído gratuitamente durante o desenvolvimento, mas nem sempre fecham vulnerabilidades conhecidas em suas compilações.