Nicolai Busekist
Datasæt med loginoplysninger fra blandt andet Gmail, Facebook og Binance blev fjernet efter tip.
En åbent tilgængelig database med i alt 149 millioner brugernavne og adgangskoder er blevet fjernet, efter at en sikkerhedsforsker gjorde en hostingudbyder opmærksom på problemet.
Databasen indeholdt blandt andet omkring 48 millioner loginoplysninger fra Gmail, 17 millioner fra Facebook og 420.000 fra kryptoplatformen Binance. Det skriver WIRED.
Det var den erfarne sikkerhedsanalytiker Jeremiah Fowler, der opdagede databasen. Ifølge Fowler var det ikke muligt at identificere, hvem der ejede eller drev databasen, og han kontaktede derfor hostingudbyderen direkte. Udbyderen valgte efterfølgende at fjerne databasen, da den overtrådte tjenestens vilkår.
Ud over loginoplysninger til e-mail og sociale medier fandt Fowler også adgangsdata til offentlige systemer fra flere lande samt konti til netbank, kreditkorttjenester og streamingplatforme.
Fowler vurderer, at databasen sandsynligvis stammer fra såkaldt infostealing-malware, der inficerer enheder og opsamler information via blandt andet tastelogning.
Undervejs i forsøget på at få databasen fjernet, som strakte sig over cirka en måned, observerede Fowler, at mængden af data fortsatte med at vokse. Der blev løbende tilføjet nye loginoplysninger til en lang række tjenester.
Af hensyn til processen nævner han ikke navnet på hostingudbyderen, men oplyser, at databasen var placeret hos en canadisk samarbejdspartner til en større global udbyder.
“Det her er en drømmeliste for kriminelle, fordi der er så mange forskellige typer legitimationsoplysninger,” siger Fowler til WIRED og tilføjer, at databasens struktur pegede på automatiseret indsamling i stor skala.
Ifølge gennemgangen indeholdt databasen også omkring 4 millioner Yahoo-konti, 1,5 millioner Outlook-login, 900.000 iCloud-oplysninger samt 1,4 millioner akademiske .edu-konti.
Derudover fandtes der loginoplysninger til blandt andet TikTok, OnlyFans og Netflix. Alle data var frit tilgængelige og kunne gennemsøges via en almindelig webbrowser.
Selvom Fowler understreger, at han ikke har fastslået, hvem der stod bag databasen, eller hvordan oplysningerne blev brugt, peger strukturen på et setup, der kan anvendes til videresalg af data til cyberkriminelle.
Ifølge Allan Liska, trusselsanalytiker hos sikkerhedsfirmaet Recorded Future, gør infostealing-malware det nemt og billigt for nye kriminelle aktører at komme i gang.
“Infostealers sænker adgangsbarrieren markant. For et par hundrede dollars om måneden kan kriminelle potentielt få adgang til hundredtusindvis af nye brugernavne og adgangskoder,” siger han.
