Опасность хранения файлов в облачном хранилище.

Данная статья написана только для образовательных целей. Мы никого ни к чему не призываем, только в целях ознакомления! Автор не несёт ответственности за ваши действия

Сер­висы вро­де Dropbox или Megaupload — удоб­ное изоб­ретение: мож­но всег­да иметь под рукой нуж­ные докумен­ты. Но если не заботить­ся о безопас­ности, то это удобс­тво обер­нется утеч­кой важ­ных лич­ных дан­ных. В этой статье наг­лядно показано, как облачные хра­нили­ща и фай­лооб­менни­ки прев­раща­ются в объ­екты хакер­ских атак, поз­воля­ют похитить важ­ные докумен­ты и соб­рать матери­ал для шан­тажа.

Вла­дель­цы круп­ных фай­лооб­менни­ков совер­шенс­тву­ют защиту дан­ных и обыч­но пред­лага­ют двух­фактор­ную аутен­тифика­цию, но вари­ант с обыч­ными логином и паролем по‑преж­нему дос­тупен и широко исполь­зует­ся. Игра­ет ли это на руку хакерам? Опре­делен­но.

Спо­собов взло­ма мно­го: фишинг, сти­леры, перебор пароля и даже высоко­тех­нологич­ные ата­ки на про­вай­деров и опе­рато­ров сотовой свя­зи, ког­да перех­ватыва­ют коды под­твержде­ния. Но чаще все­го при­меня­ется метод credential stuffing — ког­да для вхо­да исполь­зуют­ся учет­ные дан­ные из утек­ших баз. Люди ведь не любят при­думы­вать раз­ные пароли для раз­ных сер­висов, а менед­жер паролей пока так и оста­ется тех­нологи­ей для прод­винутых поль­зовате­лей.

ПОЧЕМ ЧУЖИЕ ПАРОЛИ?

Ко­неч­но же, учет­ными дан­ными активно тор­гуют в злач­ных угол­ках интерне­та. Я обо­шел пять таких мес­течек, что­бы изу­чить пред­ложение и цены. В сред­нем они такие:

• 300–350 дол­ларов за мил­лион ком­бинаций логин‑пароль или поч­та‑пароль;
• 400–500 дол­ларов за мил­лион ком­бинаций из кор­поратив­ных поч­товых ящи­ков и паролей к ним. Потен­циаль­но это наибо­лее лакомый кусочек для мошен­ников;
• 250 дол­ларов за мил­лион ком­бинаций в «мик­сован­ных базах», где могут попадать­ся любые домены.

Впро­чем, быва­ет как дешев­ле, так и дороже. А еще час­то попада­ются сами сли­тые базы, но раз­гре­бать гигант­ские дам­пы — отдель­ное неп­ростое занятие.

И конеч­но, вов­сю про­дают­ся сти­леры, при помощи которых мож­но зав­ладеть чужими учет­ками. Нап­ример, сти­лер AZORult сто­ит 100 дол­ларов, а UFR Stealer все­го в рай­оне 20–50.

ЧТО В ОБЛАЧКЕ ЛЕЖИТ

К нам в руки попало нес­коль­ко учет­ных записей, подоб­ных тем, что про­дают­ся на под­поль­ных форумах. Они были отоб­раны спе­циаль­но, поэто­му все они откры­вались и во всех из них что‑нибудь да лежало. Сей­час мы с тобой заг­лянем туда. Естес­твен­но, исклю­читель­но в иссле­дова­тель­ских целях. Заходя в акка­унты, я лишь делал скрин­шоты, что­бы про­демонс­три­ровать типич­ное содер­жимое.

Пример 1. Заброшка

Пе­ред нами акка­унт Dropbox, соз­данный в Гер­мании. Внут­ри две пап­ки: одна пус­тая, в дру­гой — фотог­рафии авто­моби­лей и докумен­тов, веро­ятно свя­зан­ных с пов­режде­ниями этих авто­моби­лей. Все­го 161 сни­мок; пос­леднее изме­нение датиру­ется нояб­рем 2020 года.

Взлом­щику или шан­тажис­ту здесь ловить, ско­рее все­го, нечего, к тому же никакой активнос­ти на этом акка­унте уже дав­но нет, а зна­чит, веро­ятно, он заб­рошен. Как, по всей видимос­ти, и доб­рая полови­на про­дающих­ся уче­ток.

По­чему люди заб­расыва­ют свои хра­нили­ща? При­чин может быть мно­жес­тво, но самая рас­простра­нен­ная — это забытый пароль и нежела­ние копать­ся с его вос­ста­нов­лени­ем. Зато лич­ные дан­ные про­дол­жат там лежать годами.

Пример 2. Чужие паспорта

Сно­ва Dropbox, и содер­жимое на этот раз более занима­тель­ное.

Речь, конеч­но, не о фотог­рафи­ях вла­дель­ца, рас­сека­юще­го снег на сно­убор­де. Речь — о целом скла­де докумен­тов, явно при­над­лежащих не ему и не чле­нам его семьи.

Слож­но ска­зать, как вла­делец акка­унта соб­рал все это и с какой целью хра­нит. Воз­можно, он имел на это пол­ное пра­во. Но неп­рият­но здесь дру­гое: мысль о том, что ска­ны тво­его пас­порта или водитель­ско­го удос­товере­ния могут попасть (и регуляр­но попада­ют) в руки людям, которые не слы­шали об эле­мен­тарных мерах безопас­ности.

Пример 3. Кредитка

За­кинуть в Dropbox фотог­рафии вечери­нок — впол­не нор­маль­ная идея. А вот добав­лять к этой кол­лекции кре­дит­ную кар­ту, да еще и сфо­тог­рафиро­ван­ную с обе­их сто­рон... мяг­ко говоря, не очень.

В той же пап­ке лежал ворох докумен­тов хозяй­ки и дей­ству­ющий QR-код груп­пы в WhatsApp. Прав­да, все­го с одним учас­тни­ком. Заг­лядывать я пос­теснял­ся.

Пример 4. Платный акк

В этом акка­унте на Dropbox не было бы ничего при­меча­тель­ного, не будь он опла­чен на год впе­ред. При этом прак­тичес­ки не исполь­зовал­ся — занято все­го 3,6 Гбайт из 2 Тбайт.

По­хоже, акк прос­то забыт, и хакер может исполь­зовать его любым кре­атив­ным спо­собом.

Пример 5. Пароль в корзине

Сер­вис под наз­вани­ем pCloud не осо­бен­но известен, но и такие встре­чают­ся в базах ском­про­мети­рован­ных акка­унтов. При­меча­тель­но здесь вот что: если ты отвле­чешь­ся от чужих фотог­рафий из отпуска и прис­мотришь­ся к панели сле­ва, то заметишь, что там сре­ди про­чего перечис­лено шиф­рован­ное хра­нили­ще.

А еще там есть кор­зина, а в кор­зине — какие‑то фай­лы. В одном из них (он называл­ся wtf.dat) лежал длин­ный ключ, который успешно подошел к раз­делу с шиф­ровани­ем.

Ви­дим рос­сий­ские пас­порта, кре­дит­ки, пра­ва и стра­ховые удос­товере­ния.

Мо­раль: кор­зину нуж­но иног­да выб­расывать, а если кинул туда что‑то важ­ное, то луч­ше и очис­тить сра­зу.

КАК НЕ СТАТЬ ЖЕРТВОЙ ВЗЛОМА

Ду­маю, бес­смыс­ленно говорить, что все рас­смот­ренные акка­унты не были защище­ны как сле­дует. Вла­дель­цам сто­ило соб­людать хотя бы базовые пра­вила циф­ровой гиги­ены.

Увер­нуть­ся от целевой ата­ки может быть проб­лематич­но, но боль­шинс­тво взло­мов — мас­совые. В их ходе для под­бора паролей при­меня­ются огромные базы или утеч­ки с раз­ных ском­про­мети­рован­ных сер­висов. Для защиты в таком слу­чае дос­таточ­но сле­довать прос­тым рекомен­даци­ям.

Глав­ное из них — надеж­ные и, что даже более важ­но, раз­ные пароли. Для их соз­дания и хра­нения обыч­но исполь­зуют менед­жер паролей: 1Password, KeePass, маков­ский iCloud Keychain, выбирай на свой вкус.