credential stuffing

  • 350 хил. потребители на Spotify са жертва на credential stuffing

    Изследователи от vpnMentor са открили свободно достъпна Elasticsearch инстанция, съдържаща близо 380 млн. записа с потребителски имена и пароли. Около 350 хил. от тези креденшъли са използвани в credential stuffing атака срещу потребители на музикалната стрийминг платформа Spotify.

    Spotify са били уведомени за откритието през юли 2020 г. След като е потвърдила легитимността на данните, компанията е ресетнала незабавно паролите на всички засегнати потребители.

    Инцидентът не произхожда от Spotify.  Данните най-вероятно са получени незаконно или потенциално са изтекли от други източници, а впоследствие са използвани в автоматизирано превземане на акутни (ATO) на Spotify.

    АТО чрез credential stuffing е било възможно, защото Spotifty са нямали имплементирана bot management защита и MFA механизъм за автентикация на потребителите.

    Препоръки

    Потребителите могат да се защитят от подобни атаки чрез използването на силни, уникални пароли за всяка отделна услуга и прилагането на многофакторно удостоверяване, когато това е възможно.

  • 2.2 млрд. крадени имейли и пароли изплуваха в интернет

    Екип на германския институт Hasso-Plattner Institute(HPI) е открил огромен масив с 25 млрд. записа на имейл адреси и пароли, публикуван в интернет. Масивът е с размер 845 гигабайта и вероятно е най-големият по рода си: поне като обем на данните.

    Разделен е на четири отделни файла: Collection#2, Collection#3, Collection#4, Collection#5, Както имената подсказват, той е наследник на Collection#1, който се появи две седмици по-рано. Неговият размер беше далеч по-малък – едва 87 гигабайта и съдържаше 773 млн. имейл адреса.

    Прогнозата на HPI е, че от петте колекции с данни за достъп могат да се създадат общо 2.2 млрд. уникални комбинации от имейл адреси и пароли. Все още обаче не е ясно каква част от изтеклите данни са публикувани и преди в интернет, и каква – не. Вероятно някои от данните се дублират многократно или пък са публикувани в мрежата преди години, а сега просто са събрани на едно място.

    Дори и това да е така, събраните данни със сигурност представляват един от най-големите масиви с крадени данни за достъп в историята.

    Всяка база данни с крадени имейли и пароли е ценна за хакерите, които използват credential stuffing. Това е автоматизирана атака, при която хакерът се опитва да пробие даден акаунт, тествайки произволни комбинации от имейл адрес и парола, докато накрая познае вярната. Колкото повече записи съдържа базата данни, толкова по-голяма е ефективността й при credential stuffing атака.

    Съвети за потребителите

    • Използвайте този инструмент на HPI, за да проверите дали имейл адресът ви се намира в базата данни;
    • Използвайте различни пароли за всеки отделен акаунт, който си правите;
    • Използвайте двуфакторна автентикация там, където е възможно;
    • Използвайте силни, трудни за отгатване пароли;
Back to top button