Security Week 48: гигантская утечка данных и уязвимость в Whatsapp

22 ноября эксперты компании DataViper Винни Тройя и Боб Дьяченко сообщили об обнаружении крупной (мягко говоря) базы данных, содержащей персональные данные о более чем миллиарде человек ( новость, оригинальный отчет). Сервер Elasticsearch был доступен без авторизации, всего там хранилось более 4 терабайт данных. Судя по отметкам в записях, источником информации стали две компании, профессионально занимающиеся сбором и аккумуляцией персональных данных. Наиболее крупная база предположительно была собрана компанией People Data Labs: на открытом сервере содержалось 3 миллиарда ее записей (с повторами), включая более 650 миллионов адресов электронной почты.


Но почтой дело не ограничивается. Исследователи сравнили данные из базы People Data Labs с информацией на незащищенном сервере, поискав там записи о себе. Получили почти полное совпадение: данные соцсетей, известные почтовые адреса, номера телефонов (включая номер, который нигде не использовался, и о его принадлежности конкретному человеку могло быть известно только оператору связи). А также адрес проживания с точностью до города и координат. Кому принадлежал открытый сервер — непонятно, он хостился на облачной платформе Google, которая информацию о клиентах не раскрывает. Не исключено, что владелец сервера вообще является каким-то третьим лицом, которое законно или не очень получило доступ к информации.

Понятно, что агрегаторы персональных данных в такой утечке не заинтересованы — они зарабатывают на продаже информации. Случайная утечка на стороне такой компании также маловероятна, так как на одном сервере хранились базы компаний-конкурентов. Конечно, это не базы паролей (которые утекали миллионами записей в прошлом), прямой ущерб они не наносят. Но могут облегчить труд киберпреступников, занимающихся социальной инженерией. Надо не забывать, что большая часть этой информации передается нами добровольно — в профилях LinkedIn, записях в Facebook и так далее. Где-то на почти каждого активного пользователя сети хранится очень подробное личное дело, постоянно пополняемое новыми данными. Утечка позволяет оценить масштаб: только две частные компании, скорее всего, не связанные с государством, агрегирующие информацию из открытых источников, владеют данными на примерно 15% населения Земли.

Компания Facebook сообщила о закрытии серьезной уязвимости в мессенджере Whatsapp ( новость, официальный бюллетень). При обработке метаданных видеофайла в формате MP4 можно вызвать переполнение буфера, что приводит к падению приложения или выполнению произвольного кода. Задействовать уязвимость просто: достаточно знать номер жертвы и отправить ей подготовленный видеофайл. Если в приложении включена автоматическая загрузка контента, никаких дополнительных действий от пользователя не потребуется (вывод: лучше автоматическую загрузку отключить).

Уязвимость похожа на другую проблему в Whatsapp, обнаруженную и закрытую в мае этого года. В том случае переполнение буфера вызывалось в модуле для VOIP-связи, и эксплуатация была проще — даже отправлять ничего не надо, достаточно инициировать «неправильный» звонок. Последствия от майской уязвимости были серьезнее, она достоверно использовалась в реальных атаках и распространялась компаниями, продающими эксплойты спецслужбам. И майскую уязвимость, и свежую прокомментировал создатель конкурирующего мессенджера Telegram Павел Дуров. Его аргумент, если коротко: в Telegram таких масштабных уязвимостей не было, а в Whatsapp есть, поэтому он небезопасен. Дурова можно понять, но не факт, что стоит делать далекоидущие выводы о безопасности кода по закрываемым уязвимостям. Можно делать выводы по реальным атакам, но и тут многое зависит от базы популярности софта или сервиса.

Что еще произошло
Эксперты «Лаборатории Касперского» делятся прогнозами по развитию сложных кибератак на 2020 год. Все чаще крупные кибероперации проводятся под «ложным флагом»: в код и серверную часть добавляются «улики», приводящие к неверной атрибуции кампании. Атаки с помощью троянов-вымогателей становятся целевыми, а объем «ковровых бомбардировок» падает. Определяют жертв, точно способных заплатить, и целенаправленно атакуют именно их. Прогнозируется рост атак с помощью IoT-устройств — как посредством взлома установленных девайсов, так и путем внедрения троянских IoT-коней в сеть жертвы.

Google поднимает сумму вознаграждения за обнаружение уязвимостей в чипе безопасности Titan M до полутора миллионов долларов. Titan M используется в новейших смартфонах серии Pixel (начиная с Pixel 3) и обеспечивает безопасный доступ к наиболее ценным данным, например при совершении платежей. Максимальная выплата предусмотрена за нахождение уязвимости, позволяющей обойти системы безопасности удаленно.



На видео выше — любопытный пример эскалации привилегий через недоработку в механизме User Account Control. Скачиваем подписанный Microsoft бинарник, пытаемся запустить с правами администратора, получаем окно ввода пароля, кликаем на ссылку в свойствах сертификата, открываем браузер с системными привилегиями. Уязвимость в Windows 7, 8 и 10 закрыта 12 ноября.

В компании Check Point посмотрели на уязвимости в распространенном открытом ПО, которое встраивается в популярные Android-приложения. Нашли непропатченные библиотеки в составе аппов Facebook, WeChat и AliExpress. В Facebook прокомментировали, что наличие уязвимости в коде еще не гарантирует ее эксплуатации: проблемный код может просто не задействоваться.

Сайт криптовалюты Monero был взломан и 18 ноября полдня раздавал модифицированные дистрибутивы с функцией кражи денег из кошельков пользователей.