ログイン情報とパスワード計1億4,940万件が露出した巨大な認証情報データベースが、保護も暗号化もされていないクラウドリポジトリで発見されました。
サイバーセキュリティ研究者のJeremiah Fowler氏がこの侵害を発見し、ExpressVPNに調査結果を報告。Gmail、Instagram、Facebook、政府系システムを含む主要プラットフォームにまたがる、盗まれたアカウントの膨大なコレクションが明らかになりました。
生データセットは認証情報データ96GBに達し、パスワード保護や暗号化なしで公開アクセス可能な状態でした。
このデータベースは、メールアドレス、ユーザー名、パスワード、直接ログインURLを含む数千のファイルを索引化しており、攻撃者が自動化されたクレデンシャル・スタッフィング攻撃を開始するために必要なものがすべて揃っていました。
この侵害は、インフォスティーラーマルウェアの出力として前例のない規模の収集を示しており、エンターテインメント、金融、ソーシャルメディアの各プラットフォームにわたる認証情報を捕捉していました:
特筆すべきことに、このデータベースには複数国の.govドメインに関連する認証情報が含まれており、重大な国家安全保障上の懸念となります。
政府アカウントの侵害は、標的型スピアフィッシング、ネットワーク侵入、または政府インフラに対するなりすまし攻撃を助長する可能性があります。
分析の結果、このデータベースには高度なインフォスティーラーマルウェアの出力が保存されており、「host_reversed paths」(com.example.user.machine)を用いて、被害者と流出元ごとに盗難データを整理する構造になっていました。
この形式により効率的なインデックス化が可能になる一方、標準的なドメイン形式を対象とする検知ルールを回避できる可能性があります。
各レコードには文書識別子として一意の行ハッシュが含まれており、重複を防いでいました。データベースは認証や専用ツールを必要とせず、基本的なウェブブラウザのクエリで検索可能で、誰でも即座に数百万件の認証情報へアクセスできる状態でした。
Fowler氏は不正利用の窓口を通じてホスティングプロバイダーに発見を報告しましたが、対応には大幅な遅延がありました。
プロバイダーは当初、当該IPは親組織名を使用する子会社によって運用されているとして、責任を否定しました。
最終的にデータベースが停止されるまでに約1か月と複数回のエスカレーションを要しました。さらに憂慮すべきことに、発見から削除までの間にレコード数が増加しており、他者がデータにアクセスしていた可能性が示唆されます。
この露出は、影響を受けたユーザーに深刻なリスクをもたらします:
個人は直ちに多要素認証を有効化し、ログイン履歴に不審な活動がないか確認し、すべてのアカウントのパスワードを更新し、ウイルス対策ソフトを導入すべきです。
組織は、人が監視する不正利用報告チャネルを実装し、認証情報の保管に関する暗号化基準を徹底し、責任ある開示報告に対する迅速な対応プロトコルを確立する必要があります。
この発見は重要な逆説を浮き彫りにしています。サイバー犯罪者はセキュリティよりも運用速度を優先するため、価値の高い盗難データが不十分に保護されたまま放置されることがあり、研究者はその脆弱性を突いて犯罪インフラを暴露・妨害し続けています。
翻訳元: https://cyberpress.org/unprotected-database-exposes-48m-gmail-and-6-5m-instagram-records-online/