2025 жылғы мамырда ақпараттық қауіпсіздік маманы Джеремайя Фаулер деректердің кейінгі жылдардағы ең ірі тарау фактісін анықтады. Elastic серверінде 47,42 гигабайт болатын деректер базасы ашық тұрған. Базада логиндер, құпиясөздер, email және ойын-сауық сервистерінен бастап мемлекеттік порталдарға кіретін сілтемелер бар 184 миллионнан астам жазба табылған. Бұл туралы SecurityLab жазды.
Ең қауіптісі мәліметтер ешбір шифрсыз, ашық күйде сақталған. Оның қатарында Google, Facebook, Microsoft, Netflix, Apple, PayPal, Discord, Instagram, Snapchat, Spotify, Roblox, WordPress, Yahoo, Nintendo, Amazon сияқты танымал сервистердің аккаунты бар. Сонымен қатар қаржы ұйымдары, медициналық платформалар мен ондаған елдің мемлекеттік жүйелеріне тиесілі деректер де табылды.
Құпиясөздердің бір бөлігі «Senha» (португалша — «құпиясөз») деген атаумен сақталған. Бұл ақпарат жинайтын зиянды бағдарламалардың португал тілінде сөйлейтін елдерде тарағанын көрсетеді.
Базада АҚШ, Канада, Үндістан, Аустралия, Израиль, Қытай, Румыния, Бразилия мен Иранды қоса алғанда 29 елдің .gov доменіндегі 220 мекеменің дерегі кездескен. Мамандар мұны жеке адамдарға ғана емес, мемлекеттік деңгейдегі қауіп ретінде бағалап отыр.
Фаулердің айтуынша, бұл база ақпарат ұрлайтын зиянды бағдарламалардың нәтижесі болуы мүмкін. Олар құрылғыға еніп, логин, пароль, cookie, мессенджер жазбалары, скриншоттар мен пернетақтада басылған мәтіндерге дейін жинайды. Мұндай бағдарламалар көбіне фишиң хаттар, зиянды сайттар не бұзылған бағдарламалар арқылы таралады.
Сервердің IP-адресі екі доменмен байланысты болған. Олардың бірі тіркелмеген, екіншісі бос тұрған. Домен иелері анықталмады. Фаулер бұл туралы хостиң провайдер World Host Group-қа хабарлап, базаға кіру мүмкіндігін жапқан. Алайда компания бұл базаны кім құрғаны туралы ақпарат бермеді.
Зерттеуші база ішіндегі кей email иелерімен байланысқан кезде, құпиясөздер шынымен де қолданыста екені анықталды. Бұл мәліметтердің әлі де өзекті екенін және иелеріне қауіп төндіретінін көрсетеді.
Осындай ауқымды деректердің таралуы мына қауіптерге әкелуі мүмкін:
- Іріктеу шабуылы (Credential stuffing) – бір логин мен құпиясөзді түрлі сайттарға автоматты түрде қолданып көру. Бір құпиясөзді бірнеше жерде қолданатындар үшін бұл қауіпті.
- Аккаунтты иемдену – егер екі факторлы аутентификация өшірілген болса, алаяқтар аккаунтқа толық қол жеткізе алады.
- Корпоративтік тыңшылық – жұмыс аккаунттары арқылы компанияның ішкі құжаттары мен хаттарына жол ашылады.
- Мемлекеттік қауіпсіздік – мемлекеттік жүйелерге рұқсаты бар аккаунттардың ашық базада болуы қауіп төндіруі мүмкін.
- Фишиң және әлеуметтік инженерия – жарамсыз парольдердің өзі қолданыстағы email-мен бірге шынайы фишиң хат жасауға жеткілікті.
Фаулердің қауіпсіздік бойынша ұсыныстары:
- әрбір сервиске бөлек, күрделі құпиясөз қолдану;
- екі факторлы аутентификацияны қосу;
- құпиясөздерді жылына кемінде бір рет жаңарту;
- email-адресті арнайы сайттар арқылы тексеру (мысалы, Have I Been Pwned);
- аккаунттардағы кіріс ескертулеріне мән беру;
- пароль менеджерлерін қолдану (LastPass мысалында қауіптер де ескерілуге тиіс);
- антивирусты жаңартып отыру және құрылғыны толық тексеру;
- кәсіби қолданушылар EDR жүйелер арқылы жүйе мен желі трафигін бақылауы керек.
Фаулер барлық әрекетті этикалық шеңберде жасаған, ол базаны жүктемеген әрі дереу провайдерге хабар берген.
