A brit FBI-nak is nevezett NCA és annak kiberbűnözés elleni egysége összesen 225 millió ellopott mailcímet és jelszót fedezett fel egy "meg nem nevezett, kompromittált cloud tárhelyen". A hivatalos tájékoztatás szerint a hatóságok a közelmúltbeli operatív tevékenységük során azonosították a hatalmas mennyiségű, potenciálisan feltört hitelesítési információt, annak elemzése során pedig világossá vált, hogy ismert és eddig ismeretlen incidensek nyomán kiszivárgott adatkészleteket tartalmaz. A bűnözők egyébként több mint 40 ezer fájlt töltöttek fel a szóban forgó szerverekre, amelyek között a jelszavakat is megtalálták.

Az a tény, hogy ismeretlenek elhelyezték ezeket egy egyesült királyságbeli vállalkozás felhőtárolójában, ugyanakkor azt is jelenti, hogy a hitelesítő adatokat most már nyilvánosnak kell tekinteni, mivel a tárolóhoz harmadik felek is hozzáférhettek. A csalások vagy számítógépes bűncselekmények megelőzősére ezért ajánlatos felfüggeszteni minden olyan jelszó használatát, amelykik szerepel a most megtalált rekordok között.

Hogy pontosan ki lehet érintett a dologban, az könnyen kideríthető, mert az ügynökség átadta az adatokat a Have I Been Pwnednek (HIBP) szolgáltatásnak, amely az ellopott vagy más módon kiszivárgott hitelesítő adatok nyomon követésére szolgál. A 225 millió jelszó az HIPB meglévő törzsének (Pwned Passwords) részévé válik, amelyik így már majdnem 850 millió tételt tartalmaz, sőt az előfordulási arányok figyelembe vételével több mint 5,5 milliárd feltört jelszónak felel meg.

Nem minden jelszó egyhasználatos

Ez azért is fontos, mert nem csak az egyes internetezők használhatják arra az HIPB oldalát, hogy megnézzék, kiszivárogtak-e az azonosítóik valamilyen korábbi jogsértés során, hanem a webhelyek üzemeltetői is megakadályozhatják, hogy a felhasználók a listán szereplő kombinációkat válasszák az új fiók létrehozása során. Ez az úgynevezett credential stuffing módszer elleni védekezést szolgálja, amikor az erősebb biztonsági megoldásokat alkalmazó célpontok elleni támadásokhoz a gyengébben védett felületekről megszerzett fiókadatokkal és jelszavakkal kísérletezgetnek a bűnözők.

Az eljárás a mai napig meglepően hatékony: az FBI szerint például 2017 óta már legalább 50 ezer online bankszámlához sikerült hozzáférni a segítségével, mert sokan még mindig ugyanazt a jelszót használják több fiók védelmére. A technika egy évtizeddel ezelőtt vált különösen problémássá, amikor több milliárd hitelesítő adat szivárgott ki a netre, így a támadók óriási adatkészlethez jutottak, hogy teszteljék a bankszámlákat, az online játékszámlákat vagy a céges alkalmazotti fiókokat.

Az HIBP üzemeltetői időközben megerősítették, hogy az újabb, összesen több mint 17 gigabájtnyi hitelesítő adat egy része még nem szerepelt a Pwned Passwords eddig meglévő adatai között. A szolgáltatást létrehozó és gondozó Troy Hunt ezúttal is hangsúlyozta, hogy az NCA vagy más szervezetek által rendelkezésére bocsátott jelszavakat valójában nem ő vagy az HIBP kapja meg, hanem a teljes internetes közösség, hogy az ajánlások mentén hatékonyan csökkenthesse a credential stuffing támadások kockázatait.