Operace Cookie Monster utnula provoz hackerského tržiště s miliony ukradených účtů
Zpět na blogNěkolik orgánů činných v trestním řízení se spojilo, aby zlikvidovalo portál Genesis Market, který prodával přístup k „více než 80 milionům přístupových údajů k účtům“, mezi něž patřila standardní uživatelská jména a hesla, ale i údaje, jako jsou například tokeny relací. Podle tiskové zprávy amerického ministerstva spravedlnosti byla stránka zastavena v úterý 11. dubna. Agentura Evropské unie pro spolupráci v oblasti prosazování práva (neboli Europol) uvedla, že bylo v souvislosti s webem zatčeno 119.
Genesis Marketplace fungoval od roku 2018 a byl „jedním z nejplodnějších zprostředkovatelů počátečního přístupu (IAB) ve světě kyberkriminality“. Web hackerům umožňoval vyhledávat určité typy přihlašovacích údajů, například ty k účtům na sociálních sítích, bankovním účtům atd. a také vyhledávat přihlašovací údaje podle toho, odkud ze světa pocházejí.
Genesis Marketplace sice obchodoval s uživatelskými jmény a hesly, ale prodával také přístup k souborům cookies a fingerprinting v prohlížeči, což mohlo útočníkům umožnit obejít ochranu, jako je dvoufaktorové ověřování. Soubory cookies – přesněji řečeno přihlašovací tokeny – jsou soubory, které webové stránky ukládají do počítače uživatele, aby ukázaly, že se uživatel již přihlásil správným zadáním hesla a informací pro dvoufaktorové ověřování. Díky tomu pak není zapotřebí přihlašovat se při každé návštěvě, což na jedné straně nepochybně umožňuje pohodlné používání webu, ale současně jde o bezpečnostní riziko, pokud by se jich někdo. Podle zprávy amerického ministerstva pocházejí údaje prodávané na serveru Genesis z „více než 1,5 milionu kompromitovaných počítačů po celém světě“.
Vývojáři webových stránek však o této možnosti vědí a často do nich zabudují další ochrany. Jedna z nich se nazývá fingerprinting, což je technika, která zkoumá spoustu informací o počítači, například jaký používá prohlížeč, jaká má nainstalovaná písma, jaký má hardware atd. Fingerprinting se často používá pro reklamu, ale může být užitečný i z hlediska zabezpečení; pokud je soubor cookie spojen s počítačem Mac a s prohlížečem Firefox, bylo by podezřelé, kdyby byl náhle použit pro přístup k účtu pomocí prohlížeče Chrome na počítači se systémem Windows. Genesis podle zprávy ZDNET z roku 2019 dokonce poskytoval rozšíření prohlížeče, které hackerům umožnilo podvrhnout otisk prstu oběti a zároveň použít její přihlašovací soubor cookie k získání přístupu k účtu.
Co dělat, pokud byly vaše údaje na tržišti Genesis
Pokud byste obrzželi e-mail od Have I Been Pwned, že vaše údaje byly nalezeny v souboru dat Genesis, měl by být podle FBI a nizozemské policie váš první krok odhlášení ze všech účtů ve všech webových prohlížečích v počítači a teprve poté vymazání souborů cookie a mezipaměti. Pokud máte tuto možnost, nezapomeňte pro jistotu vymazat data za celou dobu, nejen za poslední týden. Tím se ujistíte, že jste odhlášeni od všeho, a měli byste zneplatnit všechny tokeny relací, které jste měli.
Před opětovným přihlášením k čemukoli je na místě provést důkladnou antivirovou kontrolu, protože je dost možné, že je ve vašem počítači přítomný malware, který útočníkům dovolil cookies ukrást.
Zdroj: The Verge
26. 4. 2023