Приблизно 420 000 записів, що посилаються на акаунти Binance, було виявлено серед 149 мільйонів відкритих логінів і паролів у великій незахищеній базі даних, яку виявив дослідник кібербезпеки Джеремая Фаулер. Це підкреслює масштаби викрадення облікових даних, що впливають на користувачів криптовалют через malware-infected devices.
Відкрита database, яка була публічно доступною та не мала ані шифрування, ані захисту паролем, містила понад 96 гігабайтів викрадених облікових даних, включно з адресами електронної пошти, іменами користувачів, паролями та прямими URL-адресами для входу.
Висновки Фаулера свідчать, що облікові дані були зібрані за допомогою інфостілерів, а не через прямі злами постраждалих платформ.
Наявність записів, пов’язаних із Binance, не означає компрометацію внутрішніх систем Binance. Дані, ймовірно, були зібрані з окремих користувачів, чиї пристрої були інфіковані програмами для викрадення облікових даних.
Записи Binance як частина широкомасштабного фінансового витоку
Фаулер повідомив, що набір даних містив облікові дані, пов’язані з широким спектром фінансових сервісів, криптогаманців і торгових платформ.
Поряд із записами, що посилалися на Binance, база даних містила логіни, пов’язані з банками, кредитними картками та іншими криптоплатформами, що демонструє, як інфостілер-пЗ стало основним вектором захоплення акаунтів.
Структура набору даних свідчила про організований збір інформації.
Записи були проіндексовані за допомогою реверсованих шляхів хостів і унікальних хеш-ідентифікаторів, що забезпечувало зручне каталогізування за жертвою та сервісом.
За словами Фаулера, такий рівень організації підвищує ймовірність використання цих облікових даних в автоматизованих атаках типу credential stuffing проти бірж і фінансових платформ.
Also Read: How Europe Became America's Biggest Foreign Owner With $10.4 Trillion U.S. Stock Bet
Облікові дані держорганів викликають додаткове занепокоєння
Окрім споживчих і фінансових акаунтів, Фаулер виявив облікові дані, пов’язані з доменами електронної пошти .gov з кількох країн.
Хоча не всі державні акаунти надають доступ до чутливих систем, скомпрометовані облікові дані можуть бути використані для видавання себе за посадовців, таргетованого фішингу або як плацдарм для проникнення в офіційні мережі.
Наявність акаунтів, пов’язаних із держорганами, підносить інцидент вище рівня споживчої кібербезпеки, створюючи потенційні ризики для національної безпеки та громадської безпеки залежно від ролі постраждалих користувачів.
Базу даних залишали публічно доступною протягом тижнів
Фаулер повідомив, що база даних не мала ідентифікованого власника й розміщувалась в хмарній інфраструктурі без базових засобів захисту.
Виявивши витік, він напряму повідомив про нього хостинг-провайдера. Попри кілька спроб, доступ не був обмежений майже місяць, упродовж якого кількість відкритих записів продовжувала зростати.
Хостинг-провайдер відмовився розкривати, хто контролював базу даних, і досі незрозуміло, як довго дані були публічно доступні до того, як Фаулер виявив витік, а також чи мали до них доступ інші сторони в цей період.
Хоча відкриту базу даних згодом вимкнули, Фаулер застеріг, що після появи таких наборів даних їх копії часто поширюються далі, що ускладнює повне стримування довгострокових наслідків.
Read Next: Are We On The Cusp Of A Bear Market As Crypto Liquidity Drains And Metals Rally?