Have I Been Pwned (HIBP) je uključio 284 miliona naloga kompromitovanih malverom za krađu informacija u svoju uslugu obavještavanja.
Podaci potiču iz 1,5 TB korpusa evidencije krađe pod nazivom “ALIEN TXTBASE”, što označava jednu od najvećih inkorporacija skupova podataka u vezi sa malverom u 11-godišnjoj istoriji HIBP-a.
Ovo ažuriranje proširuje HIBP-ovo skladište na 493 miliona jedinstvenih parova web stranica e-pošte i uvodi kritične alate za organizacije za borbu protiv napada baziranih na kredencijalima.
Porijeklo ALIEN TXTBASE
Skup podataka je proizašao iz Telegram kanala kojim upravljaju sajber kriminalci koji distribuišu dnevnike kradljivaca – zapise kredencijala koje je prikupio maliciozni softver poput RedLinea ili Vidara.
Ovi zapisnici bilježe pritiske tipki, lozinke pohranjene u pregledniku i kolačiće za autentifikaciju sa zaraženih uređaja.
Osnivač HIBP-a Troy Hunt sarađivao je sa međunarodnim vladinim agencijama na nabavci korpusa od 744 fajla, koji je sadržavao 23 milijarde neobrađenih unosa akreditiva izvađenih iz mašina žrtava.
Verifikacija je uključivala unakrsno upućivanje unosa u odnosu na ciljne usluge. Na primjer, Netflix nalozi navedeni u zapisnicima potvrđeni su putem geo-ograđenih tokova poništavanja lozinke—pristup portalima za prijavu specifičnih za zemlju (npr. /ph-en/login za filipinske korisnike) preko VPN-ova.
API-ji za pretraživanje fokusiran na preduzeća
HIBP je predstavio dva GraphQL API-ja pod svojim nivoom pretplate na Pwned 5 kako bi pomogao organizacijama da ublaže rizike:
Domain-centric Stealer Log Search : Omogućava administratorima domena da preuzmu sve pseudonime e-pošte (npr. john@ u [email protected] ) i povezane domene web stranice (npr. netflix.com) sa svojih domena pod kontrolom DNS-a. Izlazi JSON mapiranja poput {“john”: [“netflix.com”]}.
Pretraživanje operatera web stranice: Omogućava dobavljačima usluga kao što je Netflix da dohvate sve adrese e-pošte izložene u evidencijama kradljivaca kada korisnici unesu kredencijale u svoje domene, vraćajući nizove poput [“ [email protected] “].
Ovi API-ji adresiraju vektore napada koji pune kredencijale dozvoljavajući preduzećima da identifikuju kompromitovane račune i nametnu višefaktorsku autentifikaciju ili poništavanje lozinke.
Pwned 5 nivo pruža ograničenje stope od 1.000 zahtjeva/minuti, s cijenama koje počinju od 3.500 USD mjesečno za kontinuirani pristup.
HIBP-ovo otvoreno skladište za kršenje lozinki dodalo je 244 miliona novih jedinstvenih lozinki iz ALIEN TXTBASE, uključujući obrasce poput tender-kenguroo i CaptainKangaroo.
Usluga sada sadrži preko 13 milijardi kompromitovanih kredencijala, sa 10 milijardi API mjesečnih zahtjeva koji informišu politike lozinki na globalnom nivou. Model k-anonimnosti osigurava da korisnici mogu sigurno provjeravati lozinke putem djelomičnih SHA-1 hash prefiksa.
Implikacije za sajber sigurnost
Ovo ažuriranje mijenja način na koji preduzeća pristupaju upravljanju površinama napada:
- SOC timovi sada mogu pratiti curenje kredencijala do specifičnih kampanja malicioznog softvera, a ne do generičkih „propusta trećih strana“.
- Provajderi identiteta kao što su Okta ili Microsoft Entra ID dobijaju korisne podatke kako bi ojačali politike uslovnog pristupa u odnosu na kredencijale koje potiču iz dnevnika krađe.
- Određivanje prioriteta CISO-a: Sa HIBP-ovom IsStealerLog oznakom kršenja, organizacije mogu trijažirati incidente koji uključuju direktne kompromitacije malicioznog softvera preko masovnih deponija baza podataka.
Hant je naglasio da dok dnevniki koje distribuiše Telegram predstavljaju dio globalne aktivnosti kradljivaca, njihova integracija u HIBP narušava ekonomske modele napadača pretvaranjem ekskluzivnih podataka u svijest javnosti.
Usluga sada obrađuje 10.000 novih kompromitovanih naloga/minutu zbog tekućih operacija malicioznog softvera, naglašavajući nemilosrdni rast prijetnji zasnovanih na kredencijalima.
Integracija ALIEN TXTBASE predstavlja primjer evolucije HIBP-a od alata za obavještavanje o kršenju do kritične infrastrukturne komponente u modernoj sajber sigurnosti.
Izvor: CyberSecurityNews
