Det florerer med passordlekkasjer for tiden. De fleste skyldes tyveri av nettsteders brukerdatabaser med manglende hashing/kryptering av passordene. Men nå har det blitt oppdaget en stor samling med brukernavn og passord som har blitt samlet inn på en helt annen måte.
IT-sikkerhetsselskapet Trustwave har gjennom selskapets granskning av et Pony-botnet kommet over samlingen som består av omtrent to millioner brukernavn og passord. 1,58 millioner av passordene er knyttet til nettsteder. Omtrent 320 000 gir tilgang til e-postkontoer. Men samlingen inneholder også brukernavn og passord til tusenvis av FTP-kontoer, Remote Desktop-kontoer og Secure Shell-kontoer (SSH).
Innloggingsinformasjonen har blitt høstet fra store mengder datamaskiner som har vært eller er infisert av botnettets keylogger. Ut fra logger over IP-adresser, tyder mye på at kommando- og kontroll-serveren til botnettet finnes i Nederland. Infiserte maskiner i omkring hundre ulike land har kommunisert med botnettet. Thailand, Tyskland og Singapore ser ut til å være landene med flest infiserte maskiner.
Nettstedet som i størst grad er berørt, er Facebook. Samlingen inneholder innloggingsinformasjon til mer enn 300 000 Facebook-kontoer. Deretter følger drøyt 70 000 Google-kontoer og nesten 60 000 Yahoo-kontoer. Men samlingen består også av brukernavn og passord til kontoer hos Twitter, LinkedIn og flere russiske tjenester.
Med på listen er også innloggingsinformasjon til flere tusen kontoer hos amerikanske ADP. Dette selskapet leverer blant annet lønnstjenester til mer enn 600 000 bedrifter globalt. Selskapet håndterer ifølge eget utsagn lønnen til hver sjette arbeidstaker i USA.
Mange av brukernavnene og passordene vil sannsynligvis også fungere sammen med en rekke andre tjenester.
SpiderLabs-avdelingen til Trustwave har studert passordene og funnet ut at det aller mest brukte er «123456». Dette er likevel langt mer komplekst enn de enkleste passordene som har blitt funnet. Disse består av kun ett tegn, for eksempel «1». Likevel blir 66 prosent av passordene i samlingen ansett for å være middels gode eller bedre. Dette er vurdert ut fra antallet tegn og bruken av ulike kategorier med tegn, slik som små og store bokstaver, siffer og spesialtegn. De fleste benytter i dag passord bestående av mellom seks og ni tegn.
Trustwave har varslet de berørte tjenestene. Ifølge CNN Money har i alle fall ADP, Facebook, LinkedIn og Twitter varslet de berørte brukerne, som har måttet velge seg nye passord.
Foreløpig ser det ikke ut til at dataene har blitt gjort søkbare, slik tilfellet har vært for en del tidligere lekkasjer. Tjenesten Have I been Pwned? er en tjeneste hvor man kan finne ut om en e-postadresse finnes i noen av de tidligere lekkasjene.
Les også:
- [09.12.2013] Flyter av sensitiv olje-info på nettet
