Megjelent az első 1200 lopott Facebook hozzáférés és jelszó?

Több hírben is felbukkant, hogy a legutóbbi nagy Facebook adatszivárgásból származó hozzáférések és jelszavak jelentek meg és tölthetők le. PÁNIK INDUL!

facebook1.png A hírek 1210 (600+610) kiszivárgott adatrekordról beszélnek, amelyek egy nyilvánosan is elérhető letöltő helyről szedhetők le.

A hír azért is volt gyanús, mert felhasználó nevekről és jelszavakról szól, viszont a Facebook breach nem érinti közvetlenül a jelszavakat, legalábbis nem úgy, hogy a jelszavakat titkosítatlan, cleartext formában megszerezték volna.

Az idei Hacktivity-n Kovács Balu kollégámmal pont információszivárgás észleléséről adtunk elő, és mivel az előadásban is bemutatott, kiszivárgott információkat kereső rendszerünk is riasztott, úgyhogy volt lehetőségem több forrást is ellenőrizni.

facebook2.png

Az egyik ellenőrzött credential két mai pasteban is szerepel, sajnos azonban eredetileg a MySpace 2013-as szivárgásából származik

Néhány keresés után világos lett, hogy szó sincsen kiszivárgott Facebook adatokról.

A most megjelent 600+610 felhasználónév és jelszó páros korábbi adatszivárgásokból származik, legalábbis az alapján erre tudok következtetni, hogy random 40 hozzáférést leellenőriztem korábbi kiszivárgott adatbázisokban, és mindegyik felhasználónév és jelszó páros szerepelt a korábbi breach adatokban.

Akkor mi is történt valójában?

Valaki fogott 1210, korábbi adatszivárgásból származó felhasználó nevet és jelszót, összerakta két állományba, és elkezdte hirdetni, mint a nagy Facebook adatszivárgásból származó adatokat.

Az ilyen kompliációk nem szokatlanok, korábban sok-sok alkalommal derült már ki, hogy a rémisztően hangzó, „frissen megjelent” pl. 1.5 milliárdos felhasználónév és jelszólista nem más, mint sok korábbi kiszivárgott adat újra keverése.

A kompliációk és az úgynevezett „combo” listák értéke a legalacsonyabb a fekete piacokon, hiszen jellemzően régi és elavult adatokat tartalmaznak, amelyekből jó, ha 1-2% működik jelenleg is(!). A „minimális” értéket ez az 1-2% jelenti, mert egy másfél milliárdos lista 1%-a is 15 millió működő accountot jelenthet.

De akkor mi értelme volt most ennek? 1210 kombó-listás credential értéke nulla, ilyet senki nem fog megvenni, pláne, hogy aki ilyen bizniszben utazik, az szintén tudja ellenőrizni az adatok hitelességét.

Igazából semmi értelme nincs, azon kívül, hogy a sajtó tele lesz a hírrel, hogy a Facebookot meghekkelő ismeretlen személyek elkezdték publikálni az ellopott felhasználó neveket és jelszavakat.

Talán a Facebook részvényei is mozgásba kerülnek...