Οι βρετανικές αρχές και συγκεκριμένα οι NCA (National Crime Agency) και NCCU (National Cyber Crime Unit) ανακάλυψαν σε έναν cloud server 225 εκατομμύρια λογαριασμούς ηλεκτρονικού ταχυδρομείου των οποίων οι κωδικοί πρόσβασης είχαν υποκλαπεί.
Το υλικό αυτό παραδόθηκε στη συνέχεια στην HIBP (HaveIBeenPwned), μία δωρεάν διαδικτυακή υπηρεσία που ασχολείται με τον εντοπισμό «διαπιστευτηρίων» χρηστών που έχουν κλαπεί ή διαρρεύσει κατά το παρελθόν.
Τα 225 εκατομμύρια νέα passwords θα ενσωματωθούν σε ένα αρχείο που περιλαμβάνει ήδη 613 εκατομμύρια κωδικούς πρόσβασης, το οποίο ουσιαστικά προσφέρει μία λίστα που «προειδοποιεί» τους κατόχους λογαριασμών ότι έχουν πέσει θύματα υποκλοπής. Φυσικά, το Pwned Password είναι πρωτίστως ένα εργαλείο για τους διαχειριστές ιστοσελίδων ώστε να εξασφαλίζουν ότι οι χρήστες τους δεν θα χρησιμοποιούν υπονομευμένους λογαριασμούς.
Η μέθοδος του credential stuffing
Η διαρροή κοινών ονομάτων χρήσης και κωδικών πρόσβασης είναι το πρώτο βήμα παράνομης πρόσβασης σε online λογαριασμούς. Σύμφωνα με προειδοποίηση του FBI, από το 2017 έχουν υπονομευτεί περί τους 50.000 online τραπεζικούς λογαριασμούς, κυρίως επειδή πολλοί χρήστες χρησιμοποιούν τα ίδια passwords για την πρόσβαση σε πολλαπλούς λογαριασμούς. Στην περίπτωση που τα στοιχεία κάποιου από αυτούς διαρρεύσουν τότε τίθενται σε κίνδυνο και οι υπόλοιποι.
Το μόνο που έχει να κάνει ο αποδέκτης αυτών των δεδομένων είναι να δοκιμάζει τα διάφορα passwords στους διάφορους λογαριασμούς. Αυτή είναι η μέθοδος του «credential stuffing».
Η NCA δήλωσε στο BBC ότι πέρυσι, σε συνεργασία με τη βρετανική αστυνομία, εντοπίστηκε μία υπονόμευση σε εγκαταστάσεις αποθήκευσης στο cloud (στη Βρετανία), στους οποίους είχε πραγματοποιηθεί το «ανέβασμα» περίπου 40.000 αρχείων από κυβερνοεγκληματίες. Μεταξύ αυτών των αρχείων υπήρχε και η συλλογή των emails με τα passwords.
Ωστόσο, δεν έγινε γνωστό σε ποια εταιρεία ανήκε ο συγκεκριμένος cloud server.
