Már júniusban felfigyeltek a Trustwave kutatói egy Pony nevű, meglehetősen kiterjedt botnetre, aminek egyik szerverén mintegy 650 ezer ellopott felhasználónevet és jelszót találtak. Aztán kiderült, van ott még lopott adat bőven. A szakértők már akkor is sejtették, hogy érdemes kiemelten figyelni a Pony-ra, hiszen a botnet valószínűsíthetően nem egy szerverre épült.
Minden második országból loptak adatot
Az újabb vezérlőszervert a közelmúltban sikerült felderíteniük, amin impozáns mennyiségű lopott adatot találtak: közel 1,6 millió bejelentkezési adatot különböző weboldalakhoz; 320 ezer felhasználónév/jelszó párost e-mail postafiókokhoz; 41 ezer hitelesítési adat FTP-kiszolgálókhoz; 3000 bejelentkezési adatot Remote Desktop távoli elérésekhez és ugyanennyi SSH hitelesítési információt.
Tanulságos eredményt hozott a weboldalakhoz tartozó bejelentkezési adatok elemzése. Kiderült ugyanis, hogy a közülük több mint 300 ezer volt közöttük a Facebook account. Persze előkelő helyen szerepelt a Yahoo!, a Google és a Twitter is.
Érdekes ugyanakkor a .com végződésű domainek túlsúlya. A toplistába mindössze egy .ru domain található, az odnoklassniki (одноклассники), azaz osztálytársak nevű oldal, amely természetesen szintén közösségi oldal mindenféle ehhez kapcsolódó szolgáltatással, maillel, chattel és így tovább.
Az elemzések során az is kiderült, hogy a Pony valóban nemzetközi botnet, ugyanis legalább 102 országból sikerült adatokat lopnia – mintegy 196 ország van a Földön, az ENSZ-nek 193 tagja van. Az adatok országok szerinti megoszlását nem sikerült pontosan megállapítani, mert a most felfedezett vezérlőszervert egy átjáró vagy egy proxy szerver mögé rejtették, és emiatt a hálózati naplóadatokból nem lehetett minden egyes esetben visszakövetni az adatlopások forrását. Az ilyen jellegű támadásoknál egyébként viszonylag gyakran alkalmaznak proxyt, mert az eléggé megnehezíti az utólagos vizsgálatokat, illetve a botneteket vezérlőszervereinek a felkutatását.
Viccesen egyszerű jelszavakat használunk
A vezérlőszerveren talált adatokból az is kiderült, milyen jelszavakkal védik adataikat a felhasználók. Nem is okozott talán komolyabb meglepetést, hogy nagyon sokan megdöbbentően könnyen visszafejthető jelszavakat használ.
A legnépszerűbb jelszavak
| Helyezés | Pony botnet | Adobe-incidens |
|---|---|---|
| 1. | 123456 | 123456 |
| 2. | 123456789 | 12345678 |
| 3. | 1234 | password |
| 4. | password | adobe123 |
| 5. | 12345 | 12345678 |
| 6. | 12345678 | qwerty |
| 7. | admin | 1234567 |
| 8. | 123 | 111111 |
| 9. | 1 | photoshop |
| 10. | 1234567 | 123123 |
Ez amúgy nem okozhatott nagyobb meglepetést senkinek, hiszen az Adobe-nál október elején történt biztonsági incidens vizsgálatakor is nagyjából ez derült ki. Az incidensben 2,9 millió felhasználó adataihoz juthattak hozzá a támadók. Akkor is megvizsgálták az ellopott jelszavakat. A listavezető egyértelműen az 123456 számsor volt, a második helyre pedig a hosszabb változata, az 123456789 futott be. No meg a password is jól szerepelt. Ha a két listát összehasonlítjuk, jól látható, hogy leszámítva az Adobe-specifikus elnevezéseket – adobe123, photoshop – meglehetősen nagy az átfedés. Szinte már a qwerty betűsor is üdítően hat ebben a nagy összhangban.
(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
a melléklet támogatója az EURO ONE Számítástechnikai Zrt.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak