Credential stuffing alebo prečo byť pri registrácii kreatívny

Credential stuffing alebo prečo byť pri registrácii kreatívny

Čo spája sociálnu sieť Facebook, internetový portál Yahoo, výrobcu športového oblečenia Under Armour alebo leteckú spoločnosť British Airways s českým obchodom Mall a slovenským torrent trackerom SkTorrent? Vzhľadom na rôzne zameranie sa na prvý pohľad môže zdať, že vôbec nič. Opak je však pravdou a správna odpoveď sa čoraz častejšie objavuje na titulkách novín – je to únik dát.

Rozsiahle databázy, ktoré sa dostanú na internet môžu obsahovať vaše meno, adresu, telefónne číslo, číslo kreditnej karty, ale aj email a prihlasovacie mená a heslá. Podľa posledného reportu Risk Based Security bolo len za rok 2018 nahlásených zhruba 6 500 takýchto únikov, ktoré viedli k odhaleniu vyše piatich miliárd záznamov. Z nich až 57 percent obsahovali heslá.

Práve tieto prihlasovacie údaje z rozsiahlych databáz dali vzniknúť útoku menom credential stuffing, ktorý nahrádza zaužívané útoky hrubou silou a tzv. sprejovanie hesiel.

Credential stuffing je masívne zautomatizované testovanie prihlasovacích údajov z uniknutých databáz. Na rozdiel od ostatných útokov, útočník sa v tomto prípade nesnaží uhádnuť správne heslo od konkrétneho účtu. Práve naopak, spolieha sa na to, že ľudia často používajú rovnaké prihlasovacie mená a heslá na viacerých stránkach, čo mu umožňuje kompromitovať hneď niekoľko ich účtov naraz.

Tieto zlé návyky potvrdil aj minuloročný prieskum LastPass, podľa ktorého až 59 percent opýtaných ľudí používa rovnaké heslo do viacerých účtov. Hlavným dôvodom prečo užívatelia volia túto možnosť je obava, že svoje heslá po čase zabudnú. Paradoxne, 38 percent ľudí si napriek tomu musí každých pár mesiacov resetovať heslo kvôli tomu, že ho zabudli.

Dáta, ktoré unikli na internet v roku 2018 podľa ich typu (zdroj: Risk Based Security).

Keď recyklácia vyjde draho

Credential stuffing predstavuje veľkú hrozbu najmä pre finančné inštitúcie a obchodné spoločnosti. Tie sú totiž nielen hlavným zdrojom únikov dát, ale vďaka tomu, že ich zamestnanci v polovici prípadov používajú rovnaké heslá pre osobné aj pracovné účty, patria zároveň aj medzi najčastejšie terče. Zamestnávateľovi tak hrozia v prípade kompromitácie zamestnancovho účtu nemalé škody aj napriek tomu, že sám za nič nemôže.

Okrem poškodenia reputácie sa dotknuté spoločnosti musia vysporiadať s finančnou stratou v podobe straty zákazníkov, pokút za únik dát, nákladov za údržbu systémov a vyšetrenie a prevenciu útokov. V závislosti na útočníkových aktivitách a rozsahu napadnutých účtov sa potom celková škoda môže podľa odhadu Inštitútu Ponemon vyšplhať až na takmer 4 milióny dolárov ročne. V prípade, že zneužije napadnutý účet na podvodné transakcie, dodatočné náklady sa pohybujú v stovkách tisícoch až desiatkach miliónov dolárov.

V našich končinách sa v minulom roku stala terčom takéhoto útoku napríklad česká Alza. Podvodníci, ktorí sa dostali k účtom jej zákazníkov, si v ich mene objednali tovar, ktorý si neskôr aj vyzdvihli. Spoločnosť po odhalení obratom podala trestné oznámenie na neznámeho páchateľa a poškodeným vrátila peniaze za tovar.

Rozsah spôsobených škôd sa však v tomto prípade nemôže rovnať s pokutou, ktorú dostal Uber za únik osobných údajov jeho zákazníkov. Útočníci, ktorí sa koncom roka 2016 pomocou credential stuffingu dostali do dátového úložiska služby, požadovali od Uberu 100-tisíc dolárov za nezverejnenie nazbieraných údajov. Služba im výkupné v snahe ututlať únik samozrejme zaplatila. O dva roky neskôr však Uber za tento únik dostal pokutu od britských a holandských úradov vo výške viac ako jeden milión dolárov. Dokonalá ukážka toho, koľko môže stáť „recyklácia“ hesiel.

Strata súkromia

Bežný človek sa s credential stuffingom môže stretnúť v momente, kedy stratí prístup do svojho účtu na Netflixe, Spotify alebo Steame. Takto ukradnuté účty sa následne predávajú na internete. Bol to aj prípad 21-ročného Austrálčana, ktorý prevádzkoval webstránku WickedGen.com, kde predával mená a heslá od údajne až jedného milióna ukradnutých účtov. Za dva roky mu na konto pribudlo približne 300-tisíc austrálskych dolárov.

Čo však robí credential stuffing pre ľudí obzvlášť nebezpečným je zásah do ich súkromia. Pred dvoma rokmi uniklo na internet zhruba 118-tisíc prihlasovacích údajov v nešifrovanej podobe zo slovenskej pirátskej stránky SkTorrent. Rozsiahla databáza bola v tom čase zverejnená na Ulož.to, vďaka čomu mal k nej prístup ktokoľvek, kto o nej vedel. Útočníkovi tak stačilo z textového súboru vybrať a otestovať heslo s priloženým e-mailom na zoznam.sk, azet.sk, centrum.sk alebo gmail.com a dúfať, že systém ho pustí ďalej. Všetky správy, faktúry, fotky, súbory či spojenie s ďalšími účtami na sociálnych sieťach mal útočník priamo na dlani.

Cenzurovaná ukážka uniknutých údajov z SkTorrent.

Ako sa brániť

V prvom rade je dobré sledovať internetové správy, kyberbezpečnostné portály (ako je ten náš) alebo novinky na Facebooku a Twitteri, aby ste sa o úniku dozvedeli včas. Média síce neinformujú o každom prípade, no pokiaľ sa človek naozaj zaujíma o svoje súkromie a bezpečnosť, cestu k informáciám si určite nájde. Za posledné roky vo svete zrejme najviac zarezonovali úniky dát z Yahoo, Reddit, Equifax, Facebook a samozrejme aj najväčšia zbierka e-mailov a hesiel známa ako Collection #1. Slovenských a českých užívateľov potrápili úniky z Mall.cz, Xzone.cz, Kuma.cz, ZONER, Domina.sk alebo SkTorrent.

V momente, kedy sa o úniku dozviete je potrebné skontrolovať, či sa nenachádzate medzi obeťami aj vy. Pre tento účel vytvoril bezpečnostný expert Troy Hunt webstránku www.haveibeenpwned.com, ktorá vám povie, či sa váš e-mail alebo heslo nezhoduje s nejakým záznamom z ktorejkoľvek uniknutej databázy. Ak áno, nasledovať by mala zmena hesla.

Na vytvorenie silného hesla existuje na internete kopec návodov (aj my sme pripravili zopár tipov). Sila hesla je však v prípade credential stuffingu druhoradou záležitosťou, keďže útočníkovi nejde o jeho prelomenie. Pokiaľ sa už raz dostalo na internet v nešifrovanej podobe (tzv. plain texte), môže byť zneužité znova a znova. Prevencia takýchto útokov preto spočíva nielen v kvalite, ale aj kvantite prihlasovacích údajov. Pri registrácii na rôzne webstránky je žiadúce zakaždým obmieňať prihlasovacie mená a heslá, aby ich v prípade úniku nebolo možné použiť na krádež ďalších účtov na iných stránkach.

Nemusíte sa obávať, že toto množstvo prihlasovacích údajov zabudnete – správcovia hesiel tento problém vyriešili už dávno. Šikovný program s intuitívnym nastavením vám nielenže vytvorí silné heslo, ale zároveň si v ňom viete uložiť akýkoľvek prihlasovací údaj, ktorý bude pred očami cudzincov chrániť šifrovanie. Viac ale o správcoch hesiel v našom článku „Password Managers“.

Pokiaľ sa vám napriek tomu zdá, že správcovia hesiel sú k ničomu a vy si vystačíte s jedným menom a heslom, správcovia webstránok pre vás prichystali ďalšiu vrstvu ochrany. Takzvaná dvojfaktorová autentizácia (2FA) spočíva v tom, že užívateľ musí pri overovaní svojej identity poskytnúť dva rôzne faktory. Jedným z nich je vaše heslo (niečo, čo viete), tým druhým môže byť napríklad náhodný kód z vášho mobilu (niečo, čo máte). Takáto forma zabezpečenia zaručí, že pokiaľ sa aj vaše heslo dostane na verejnosť, druhý faktor zabráni útočníkov v prihlásení, pretože mu bude chýbať druhý faktor – váš mobil. Ak preto webstránka ponúka možnosť 2FA, odporúčame zapnúť si ju. Facebook aj Google túto možnosť ponúka.

Poslednou záchranou sú rôzne doplnky prehliadačov, ktoré vás na kompromitované údaje priamo upozornia. Tak napríklad Google predstavil začiatkom tohto roka doplnok Password Checkup do svojho prehliadača Chrome, ktorý kontroluje zadané mená a heslá na webstránkach. Ak objaví zhodu medzi zadaným údajom a niektorým z vyše štyroch miliárd záznamov, ktoré má k dispozícii, upozorní vás a odporučí zmenu hesla.