Een database met 149 miljoen gebruikersnamen en wachtwoorden voor accounts, waaronder 48 miljoen voor Gmail17 miljoen voor Facebooken 420.000 voor het cryptocurrency-platform Binantie—is verwijderd nadat een onderzoeker de blootstelling aan de hostingprovider had gemeld.
De oude beveiligingsanalist die de database ontdekte, Jeremiah Fowler, kon geen aanwijzingen vinden over wie de database bezat of exploiteerde, dus probeerde hij de host op de hoogte te stellen, die de trove verwijderde omdat deze in strijd was met een serviceovereenkomst.
Naast logins via e-mail en sociale media voor een aantal platforms, observeerde Fowler ook inloggegevens voor overheidssystemen uit meerdere landen, evenals logins voor consumentenbankieren en creditcards en platforms voor mediastreaming. Fowler vermoedt dat de database is samengesteld door het stelen van malware dat apparaten infecteert en vervolgens gebruikt technieken zoals keylogging om informatie vast te leggen die slachtoffers op websites typen.
Terwijl hij in de loop van ongeveer een maand probeerde contact op te nemen met de hostingservice, zegt Fowler dat de database bleef groeien, waardoor extra logins voor een reeks services werden verzameld. Hij noemt de aanbieder niet bij naam, omdat het bedrijf een mondiale host is die contracten afsluit met onafhankelijke regionale bedrijven om zijn bereik uit te breiden. De database werd gehost door een van deze dochterondernemingen in Canada.
“Dit is als een droomverlanglijst voor criminelen, omdat je zoveel verschillende soorten inloggegevens hebt”, vertelde Fowler aan WIRED. “Een infostealer zou het meest logisch zijn. De database had een formaat dat gemaakt was voor het indexeren van grote logboeken, alsof degene die het had opgezet verwachtte veel gegevens te verzamelen. En er waren talloze aanmeldingen van de overheid uit veel verschillende landen.”
Naast de 48 miljoen Gmail-inloggegevens bevatte de schat ook ongeveer vier miljoen voor Yahoo-accounts, 1,5 miljoen voor Microsoft Outlook, 900.000 voor Apple’s iCloud en 1,4 miljoen voor ‘.edu’-accounts voor academische en institutionele instellingen. Verder waren er onder meer zo’n 780.000 logins voor TikTok, 100.000 voor OnlyFans en 3,4 miljoen voor Netflix. De gegevens waren openbaar toegankelijk en doorzoekbaar met alleen een webbrowser.
“Het leek alsof het van alles en nog wat vastlegde, maar wat interessant was, was dat het systeem elk logboek automatisch leek te classificeren met een identificatiecode, en dit waren unieke identificatiegegevens die niet opnieuw verschenen”, zegt Fowler. “Het leek alsof het systeem de gegevens automatisch organiseerde, zodat het zoeken eenvoudiger werd.
Hoewel Fowler benadrukt dat hij niet heeft bepaald wie de informatie bezat of gebruikte en voor welk doel, zou een dergelijke structuur zinvol zijn als de gegevens zouden worden opgevraagd voor cybercriminele klanten die voor verschillende subsets van de informatie betaalden op basis van hun oplichting.
Er is een schijnbaar eindeloze stroom van ten onrechte onbeveiligde en publiekelijk toegankelijke databases online die gevoelige informatie blootleggen waar iedereen toegang toe heeft. Maar naarmate datamakelaars en cybercriminelen steeds grotere rijkdommen vergaren, wordt de inzet van potentiële inbreuken alleen maar groter. En infostealing-malware heeft dat ook gedaan aan het probleem toegevoegd door het voor aanvallers eenvoudig en betrouwbaar te maken om het verzamelen van inloggegevens en andere gevoelige gegevens te automatiseren.
“Infostealers creëren een zeer lage toegangsdrempel voor nieuwe criminelen”, zegt Allan Liska, analist van dreigingsinformatie bij beveiligingsbedrijf Recorded Future. “Het huren van een populaire infrastructuur die we hebben gezien kosten ergens tussen de $200 en $300 per maand, dus voor minder dan een autobetaling kunnen criminelen potentieel toegang krijgen tot honderdduizenden nieuwe gebruikersnamen en wachtwoorden per maand.”
