Coinmama, witryna internetowa umożliwiająca „szybki, bezpieczny i przyjemny” zakup przy pomocy karty kredytowej – kryptowalut Bitcoin i Ether, ucierpiała na skutek naruszenia danych osobowych prawie pół miliona klientów. Coinmama uważa, że naruszone dane obejmują około 450 tys. adresów e-mail i zaszyfrowanych haseł tych użytkowników, którzy zarejestrowali się przed 5 sierpnia 2017 r.
W poradniku opublikowanym na swojej stronie internetowej Coinmama wiąże aktualny wyciek danych z szerszą falą naruszeń, w wyniku których zaatakowanych zostało co najmniej 30 różnych stron internetowych (w tym MyFitnessPal, Houzz i Coffee Meets Bagel), dotykając w rezultacie setki milionów użytkowników.
Uzyskane na drodze przestępczej dane sprzedawane są na stronach internetowych kryminalnego podziemia, w partiach wycenianych na dziesiątki tysięcy dolarów.
W ostatnio oferowanym przez hakera Gnosticplayers pakiecie danych, 450 tys. rekordów pochodzących od Coinmama wystawionych jest na sprzedaż obok:
- 57 milionów rekordów skradzionych ze strony internetowej Houzz
- 40 milionów rekordów skradzionych z witryny strumieniowej transmisji wideo YouNow
- 18 milionów rekordów skradzionych z witryny rezerwacji podróżnych Ixigo
- 5 milionów rekordów wykradzionych z zespołowej gry online Stronghold Kingdoms
- 4 miliony rekordów skradzionych z witryny gier planszowych Roll20
- 1,8 miliona rekordów skradzionych z witryny udostępniania plików Ge.tt
- 1 milion rekordów wykradzionych z serwisu dla posiadaczy zwierząt domowych PetFlow.
Dane związane z Coinmamą są obecnie oferowane przez hakera za 0,351 Bitcoina (1358 USD). Towarzyszy im zapewnienie, że zawierają aż 70 tysięcy złamanych haseł.
Oczywiście użytkownicy Coinmamy powinni zachować spokój i rozsądek, a przy najbliższej okazji zmienić hasło. Jak w przypadku wszystkich prowadzących do ujawnienia hasła naruszeń danych, trzeba także zadbać o unikalność hasła (stosowanie różnych haseł w różnych usługach internetowych) – radzi Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe.
Interesujące jest spostrzeżenie analityków bezpieczeństwa wskazujące, że wiele baz danych naruszonych przez Gnosticplayersa prawdopodobnie wykorzystuje oprogramowanie PostgreSQL.
Spekuluje się, że haker mógł wykorzystać lukę w upublicznionym kodzie źródłowym PostgreSQL, włamując się w ten sposób do wybranych witryn celem pozyskania cennych danych.
Według TechCrunch, programiści pracujący przy PostgreSQL nie są świadomi istnienia jakichkolwiek luk w zabezpieczeniach – załatanych bądź niezałatanych, które mogłyby zostać wykorzystane przez hakera.
– Myśląc o bezpieczeństwie bazy danych, należy brać pod uwagę wiele czynników, poza samym oprogramowaniem bazy. Często stwierdzaliśmy, że naruszenie bazy danych zarządzanej przez PostgreSQL realizowane jest nie przez atak bezpośredni, lecz pośredni, wykorzystujący lukę w aplikacji mającej dostęp do bazy, lub wykorzystujący braki polityki dotyczącej zarządzania danymi – powiedział Jonathan Katz. – Jeżeli chodzi o luki w zabezpieczeniach, to do dyspozycji społeczności PostgreSQL stoi dedykowany zespół specjalistów, który ocenia i rozwiązuje problemy i – w duchu współpracy open source – w przejrzysty sposób edukuje i informuje o nich naszych użytkowników.
Ponieważ hakerowi udaje się zyskać dostęp do tak wielu wrażliwych danych, na tak wielu stronach internetowych, wydaje się, że rozsądnie będzie, by firmy korzystające z PostgreSQL przyjrzały się bliżej swojej infrastrukturze. W końcu lepiej jest znaleźć luki w zabezpieczeniach swojej strony samemu, niż czekać, aż zrobi to złośliwy haker – dodają eksperci z Bitdefendara.