21.01.2014 | 21:03

Adam Haertle

Sprawdź, czy Twoje dane są wśród 16 mln skradzionych kont pocztowych

Od czasu do czasu dane internautów, skradzione przez przestępców, trafiają w ręce uczciwych badaczy. Tak też było zapewne i w tym wypadku, gdy niemiecki urząd otrzymał ok. 16 milionów adresów email oraz związanych z nimi haseł.

Z reguły nie rekomendujemy podawania swojego adresu poczty elektronicznej (o haśle już nie wspominając) w różnych serwisach sprawdzających, czy dane konto nie znalazło się w jakimś wycieku danych. Tym razem jednak za mechanizmem weryfikacji stoi poważna, niemiecka instytucja, której trudno zarzucić złe intencje.

Źli bandyci i dobrzy szeryfowie

Jednym z celów internetowych przestępców są dane, używane przez internautów do logowania do różnych serwisów. Mogą to być dane kont pocztowych, forów, serwisów społecznościowych, kont FTP czy też milionów innych usług internetowych. Każda para loginu i hasła ma swoją cenę na czarnym rynku, a ich zdobycie w wielu przypadkach nie jest zbyt trudne. Komputer zainfekowany koniem trojańskim jest przeczesywany pod kątem haseł zapamiętanych w przeglądarkach czy też zapisanych w plikach konfiguracyjnych różnych programów. Czasem bardziej wyrafinowane konie trojańskie podsłuchują połączenia internetowe oraz naciskane przez użytkownika klawisze, wychwytując również hasła, zwykle znajdujące się jedynie w pamięci użytkownika. Wszystkie tak zebrane dane trafiają na serwer przestępców, skąd są przez nich pobierane i sprzedawane.

Tam, gdzie są przestępcy, są też szeryfowie. Szeryfowie, chcąc uratować biednych obywateli, nie zawsze działają w granicach obowiązujących przepisów. Zespoły badaczy na całym świecie analizują botnety przestępców i starają się zakłócić ich działalność. Czasem udaje się im namierzyć serwer, na który przestępcy wysyłali skradzione z komputerów użytkowników dane i przejąć nad nim kontrolę. Wtedy szeryfowie starają się skontaktować z poszkodowanymi, by ofiary przestępców mogły zmienić swoje hasła, zanim będzie za późno.

Damy informację, ale nie powiemy, skąd pochodzi

Na co dzień szeryfowie oficjalnie nie przyznają się, że włamują się na serwery przestępców – a jeśli nawet to robią, to występują wtedy pod pseudonimami (jak np. słynny Xylitol). Dane przekazują anonimowo, udostępniając je np. za pośrednictwem fundacji Shadowserver. Współpracują również z dostawcami internetu i organizacjami rządowymi w celu szybszego i bardziej skutecznego dotarcia do użytkowników końcowych. Tak było też i w opisywanym przez nas przypadku. Dane pozyskane z serwera przestępców trafiły do niemieckiego Federalnego Biura Bezpieczeństwa Informacji, które postanowiło skonstruować formularz umożliwiający sprawdzenie, czy dane konto znalazło się na liście przestępców. Oczywiście nikt nie mówi, z jakiego botnetu pochodzą ujawnione informacje – jednak musiała to być albo kolekcja danych z kilku botnetów, albo badaczom udało się przejąć naprawdę wielki łup, ponieważ rzadko widzimy zbiory zawierające 16 milionów kont z hasłami.

Według informacji ze źródeł zbliżonych do dobrze poinformowanych krajowe zespoły CERT otrzymały już dane zdobyte przez badaczy. Pliki zawierają na przykład nr AS sieci, adres IP oraz nazwę serwera pocztowego, numer portu oraz nazwę użytkownika. Prawdopodobnie dane wkrótce trafią do poszczególnych operatorów.

Oryginalna metoda weryfikacji

Wszyscy chętni do sprawdzenia, czy ich konto również znalazło się w zbiorze przestępców, mogą podać swój adres email na stronie https://www.sicherheitstest.bsi.de/.

Formularz weryfikacji adresu

Formularz weryfikacji adresu

Nie należy się jednak spodziewać od razu odpowiedzi – procedura jest bardziej skomplikowana. Jeśli nasze konto znajdowało się wśród przejętych danych, wkrótce otrzymamy na nie wiadomość poczty elektronicznej z tematem, podanym w komunikacie zwrotnym strony, podpisaną kluczem PGP. Dzięki temu będziemy wiedzieć, że to faktycznie wiadomość od niemieckiego urzędu. Jeśli konta w zbiorze nie było, to żadna wiadomość nie nadejdzie. Nie jest to może metoda wygodna, ale umożliwia chociażby zapewnienie, że informacja dotrze tylko do posiadacza konta a także utrudnia podszycie się pod niemiecki urząd przez przestępców.

Niestety wygląda na to, że albo niemieckie serwery padły ofiarą popularności, albo przestępców, którzy chcą się odwdzięczyć za swoją porażkę. W tej chwili strona umożliwiająca weryfikację adresu jest niedostępna, a twórcy mechanizmu nie przewidzieli konieczności stworzenia jego kopii pod innymi adresami.

Powrót

Komentarze

  • 2014.01.22 00:25 bighard

    numer AS maja dla danego ipka? no to swietni spece musieli byc… a moze zalatwia opone do stara, albo choinke zapachowa do malucha? ;p

    Odpowiedz
  • 2014.01.22 09:28 blad201

    Wysłany przez BSI mail na konto, do którego ma dostęp hacker to nie jest taki świetny pomysł – przecież może on takiego maila opóźnić, usunąć albo dodać domenę BSI na czarną listę i mail nie dojdzie.
    A jak maila z BSI nie ma to znaczy, że konto nie zostało przejęte przez hackerów – lepiej zmienić hasło zamiast czekać na maila :-)

    Odpowiedz
  • 2014.01.22 16:32 to

    Ja raczej obstawiam że niemiecki urząd chcę wyciągnąć od swoich obywateli ich adresy pocztowe.Inaczej ogłosiliby żeby zmienić hasła i po sprawie,albo wysłaliby maile z taką informacją. Odpowiedzi są czysto przypadkowe i zapisywane. Żeby nie było wtopy przy ponownym odpytaniu.

    Odpowiedz
  • 2014.01.31 12:30 q

    A co z aliasami na GMailu ([email protected])? Domyślam się, że tego Niemcy mogli nie przewidzieć.

    Odpowiedz
  • 2014.02.16 15:40 Waldek Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Sprawdź, czy Twoje dane są wśród 16 mln skradzionych kont pocztowych

Komentarze