A múlt héten közreadott kiszivárgott hozzáférésekkel kapcsolatos posztunk igen népszerű lett, talán annak is köszönhetően, hogy igen masszív magyar érintettségekkel is büszkélkedett.  

Kis emlékeztető, egy orosz fórumon felbukkant, 404millió rekordos, kiszivárgott felhasználói adatokat tartalmazó listát vizsgáltunk meg, amelyben 1,5 millió magyar felhasználói rekordot találtunk, illetve több olyan magyar weboldalt, amelyből felhasználói adatokat loptak el.

Most egy picit visszamegyünk az időben, na nem túl sokat, csak úgy fél évet.

2017 decemberében felbukkant egy olyan 1.4 milliárd rekordot tartalmazó kompiláció, amelyet a breach adatokat vizsgálók, illetve az Account Takeover (ATO, kompromittált felhasználói adatok felderítése) területén motorozók ma alapműnek tekintenek, és amely évekre visszamenőleg tartalmazza a nagyobb adatszivárgások adatait.

A kombólista („Combolist of 1.4 Billion Credentials”) legnagyobb hátránya (mint minden kombólistának), hogy nem tartalmazza a forrásokat, azaz, mely felhasználói adatok pontosan honnan származnak. Emiatt a források visszaazonosítása igen nehézkes, a legtöbben egyébként nem is foglalkoznak vele, elterjedt gyakorlat, hogy önálló forrásként kezelik (annak ellenére, hogy mindenki tudja, hogy sokezer forrásból származó információkat tartalmaz).

A cucc mérete 40GB körül van, szóval a feldolgozása sem túl egyszerű, de szerintem mindenképpen érdemes vele legalább annyit foglalkozni, hogy megnézzük, milyen magyar érintettségeket tartalmaz, illetőleg, ha a magyar érdekeltségeket összehasonlítjuk a múltheti kompliációval, hogyan néz ki a statisztika és mekkora egyezőséget mutat a múltheti adatokkal.

Több, mint kétmillió magyar felhasználói adatrekord

Leszűrve a majdnem 1,4 milliárd rekordot, a 2017-es kombólista 2.404.244, azaz majdnem két és fél millió ".hu" végződésű email címet és hozzátartozó jelszót vagy jelszó hasht tartalmaz.

Ennél lényegesen több magyar felhasználói rekord szerepelhet az adatbázisban, nyilván a "gmail.com" és más, nem ".hu" végződésű rekord azonosítása elég macerás, szerintem nyugodtan számolhatunk 1,3-mas szorzóval: azaz a 2017-es lista szerintem legalább 3.1 millió magyar érintettségű felhasználói rekordot tartalmaz.

Egyedi rekordok kérdése

Sokszor felmerül a kérdés, hogy rekordokról beszélünk és nem felhasználókról, azaz, hogy mégis hány egyedi felhasználó érintett a breach adatokban?

A kérdésre nehéz válaszolni mivel kombólistáról van szó, ahol a források nem ismertek.

A felhasználók előszeretettel használják ugyanazt a felhasználó név és jelszó párost több rendszerben is, így, ha két rendszerből is kiszivárogtak az adatok, a kombólistában is esélyes, hogy kétszer is ugyanaz az adat fog szerepelni, így a forrás ismerete nélkül a rekord nemigazán mondható sima duplázásnak (hisz valójában két breach eseményből származik a két rekord).

(Arra természetesen van lehetőség, hogy egyedi felhasználókat nézzünk, hiszen az email címek deduplikálásával megkapjuk az egyedi felhasználószámot, de semmiképpen nem az egyedi breach eseményekkel lesz ez egyenlő.)

Ha rekordszinten összehasonlítjuk a két listát, 676 121 egyező ('.hu') rekordot kapunk, tehát a két listának közel 30%-os metszete van, azaz 676 ezer olyan rekord van, amely mindkét listában is megtalálható, illetve több, mint 700 ezer olyan rekord található a „Combolist of 1.4 Billion Credentials” két és fél milliós ".hu" blokkjában, amely viszont a múltheti listában egyszer sem szerepel.

A „Combolist of 1.4 Billion Credentials” kombólista közel 1,8 millió egyedi, ".hu" végű email címet (felhasználó név), míg az „orosz fórum lista” másfélmillió .hu végű rekordja „csak” 833 ezer egyedi email címet (felhasználó név) tartalmaz.

10 millió breach rekord országa

A két listából azért már sejthető a magyar ATO helyzet, de azért a sejtés helyett nézzünk konkrét adatokat is.

A mennyiségek bemutatásához egy olyan listát használunk, amelyhez egy ATO felderítéssel foglalkozó szervezet jóvoltából jutottunk hozzá, és amely listában a 100 legtöbb breach rekorddal rendelkező ".hu" domain található.

A lista nem a feltört oldalakat és szolgáltatásokat tartalmazza, hanem olyan felhasználói rekordokat (csak a számosság!), amelyek valamilyen külső szolgáltatásból szivárogtak ki és ahol a felhasználónévben az adott domain cím szerepel.

A 100-as lista összesen 9,7 millió magyar felhasználói breach rekordot tartalmaz, tehát ez a 100 domain együttesen összesen 9,7 millió kiszivárgott felhasználói rekorddal rendelkezik.

• A „TOP-20” kategóriában kizárólag hazai Internet szolgáltatók vagy levelezési szolgáltatást nyújtók találhatók.
• A „TOP-1” egy hazai szolgáltató, 5,4 millió rekorddal.
• A „TOP-5” kategória tagjai együtt 8,6 millió rekordot jelentenek, ők adják a TOP-100 lista 9,7 milliós mennyiségének 89%-át.
• Ha a „TOP-20” kategóriába tartozókat összeszámoljuk, 9,3 millió breach rekordról beszélhetünk, ez a teljes TOP-100 mennyiség 96,3%-a.
• A lista 100. helyén tanyázó domainhez már „csak” 1623 kiszivárgott adatrekord tartozik.

...és már csak 10 nap van a GDPR-ig :)