Have I Been Pwned ได้ทำการเพิ่มที่อยู่อีเมลกว่า 71 ล้านอีเมล ที่เกี่ยวข้องกับบัญชีผู้ใช้งานที่ถูกขโมยมาในชุดข้อมูล Naz.API เข้าสู่ระบบบริการแจ้งเตือนข้อมูลบัญชีผู้ใช้งานว่ามีการรั่วไหล ซึ่งข้อมูลชุด Naz.API ขนาดใหญ่นี้ เก็บข้อมูล credentials จากข้อมูล credential stuffing และข้อมูลที่ถูกขโมยโดย Malware ขโมยข้อมูล
โดยที่ข้อมูล Credential stuffing คือข้อมูลที่เก็บคู่บัญชี และพาสเวิร์ดที่ใช้สำหรับการ login ซึ่งถูกขโมยจากการรั่วไหลของข้อมูล ที่ถูกนำไปใช้ในเว็บไซต์อื่น ๆ อีกที ส่วน Malware ขโมยข้อมูล ได้พยายามขโมยข้อมูลต่าง ๆ จากเครื่องของเหยื่อที่ติดมัลแวร์ ซึ่งรวมไปถึง credentials ที่ถูกบันทึกไว้บนเบราว์เซอร์, VPN clients และ FTP clients
โดยที่ Malware ลักษณะนี้ยังพยายามขโมย SSH keys, ข้อมูลบัตรเครดิต, ประวัติการค้นหาบนเบราว์เซอร์, Cookies, และกระเป๋าเหรียญคริปโตเคอเรนซี
ข้อมูลที่ถูกขโมยจะถูกเก็บในรูปแบบของไฟล์ตัวหนังสือ และรูปภาพ ซึ่งจะถูกเก็บใน archives เรียกว่า “logs” โดยที่ logs เหล่านี้จะถูกอัปโหลดไปที่เครื่องเซิร์ฟเวอร์ที่ผู้โจมตีสามารถเก็บข้อมูลได้อีกที และไม่ว่าข้อมูล credentials จะถูกขโมยมาในรูปแบบไหน ก็จะถูกใช้งานในการโจมตีบัญชีผู้ใช้งานของเหยื่อ ด้วยการขายให้กับผู้โจมตีอื่นบนแพลตฟอร์มซื้อขายของอาชญากรทางไซเบอร์ หรือแม้แต่การเปิดเผยข้อมูลออกมาแบบฟรี ๆ บนแฮ็กเกอร์ฟอรั่ม เพื่อเพิ่มค่าความนิยมในกลุ่มแฮ็กเกอร์ด้วยกันเอง
ชุดข้อมูล Naz.API
Naz.API คือชุดข้อมูลกว่า 1 พันล้านบรรทัดของข้อมูล credentials ที่ถูกขโมยมาจากข้อมูล credential stuffing และ Malware ขโมยข้อมูล ถึงแม้ในชื่อชุดข้อมูล Naz.API นี้จะมีคำว่า Naz แต่ก็ไม่ได้มีความเกี่ยวข้องกันกับ NAS ที่ย่อมาจาก Network attached storage devices แต่อย่างใด
ชุดข้อมูลนี้ถูกเปิดเผยในกลุ่มข้อมูลที่รั่วไหลมาสักระยะแล้ว แต่ถูกยกมาเป็นประเด็นหลังจากที่ข้อมูลชุดนี้ถูกนำไปใช้เป็นส่วนหนึ่งของ open-source intelligence (OSINT) แพลตฟอร์มชื่อ illicit[.]services โดยที่บริการดังกล่าวจะอนุญาตให้ผู้ใช้งานสามารถค้นหาชุดข้อมูลที่ถูกขโมยมาได้ ตั้งแต่ ชื่อ เบอร์โทรศัพท์ ที่อยู่อีเมล ไปจนกระทั่งข้อมูลส่วนตัวอื่น ๆ อีกด้วย ซึ่งบริการนี้ได้ปิดตัวลงในเดือนกรกฏาคมปี 2023 เนื่องจากถูกใช้ในการโจมตี Doxxing และ SIM-swapping อย่างไรก็ตามบริการนี้ได้ถูกเปิดให้ใช้งานอีกครั้งในเดือนกันยายน
Illicit[.]services ใช้ข้อมูลจากหลายแหล่งในการให้บริการ แต่หนึ่งในแหล่งข้อมูลที่ใหญ่ที่สุดคือชุดข้อมูลจาก Naz.API ซึ่งถูกแชร์ในวงของคนกลุ่มเล็ก ๆ เพียงเท่านั้น และในแต่ละบรรทัดของชุดข้อมูล Naz.API จะประกอบไปด้วย URL สำหรับ login, ชื่อสำหรับ login และพาสเวิร์ดที่เกี่ยวข้องซึ่งถูกขโมยมาจากอุปกรณ์ของเหยื่อ ดังรูปข้างล่าง
Naz.API ได้ถูกเพิ่มเข้าไปในฐานข้อมูลของ Have I Been Pwned ในวันนี้ (17 มกราคม 2024) โดย Troy Hunt ผู้สร้างเว็บไซต์ Have I been Pwned ประกาศว่าได้เพิ่มชุดข้อมูล Naz.API เข้าสู่ชุดข้อมูลสำหรับบริการแจ้งเตือนว่ามีข้อมูลรั่วไหล หลังจากที่ได้รับชุดข้อมูลนี้จากบริษัทชื่อดังแห่งหนึ่ง
โดยระบุว่า “เขาได้รับการติดต่อจากบริษัทด้านเทคโนโลยีชื่อดังแห่งหนึ่ง ที่ได้รับรายงานจากโปรแกรม Bug bounty โดยใช้วิธีการ Credential stuffing ที่ได้โพสต์ลงบน แฮ็กเกอร์ฟอรั่มที่มีชื่อเสียง"
ซึ่งวันที่โพสต์ในฟอรั่ม ระบุว่าโพสต์นี้ถูกโพสต์มานานกว่า 4 เดือนแล้ว และข้อมูลชุดนี้ไม่ได้ผ่านตาของเขามาก่อนจนกระทั่งวันนี้ และที่สำคัญข้อมูลชุดนี้ ณ วันนั้นยังไม่ได้ถูกส่งให้บริษัทชื่อดังดังกล่าวอีกด้วย
อ้างอิงจาก Troy Hunt ชุดข้อมูล Naz.API ประกอบไปด้วย 319 ไฟล์ ขนาดกว่า 104 GB ซึ่งล้วนเป็น 70,840,711 ที่อยู่อีเมลที่ไม่ซ้ำกันเลย และอย่างไรก็ตาม อีเมลที่แตกต่างกันว่า 71 ล้านอีเมลนี้ ในแต่ละอีเมลยังมีแนวโน้มว่าถูกขโมยมาจากหลายแหล่งอีกด้วย
Hunt ระบุว่าข้อมูลนี้ของ Naz.API ค่อนข้างเก่าแล้ว เนื่องจากมีชุดข้อมูล 1 ในชุดข้อมูลของตัวเขาเอง และพาสเวิร์ดของคนอื่น ๆ บน Have I Been Pwned ที่เคยถูกใช้งานมาแล้วในอดีต และ Hunt ยังระบุเพิ่มเติมอีกว่า มีพาสเวิร์ดของเขาเองที่เคยใช้เมื่อปี 2011 ซึ่งหมายความว่าข้อมูลชุดนี้มีอายุกว่า 13 ปีแล้ว
ซึ่งในการตรวจสอบว่า Credentials ของคุณอยู่ในชุดข้อมูล Naz.API หรือไม่ สามารถทำได้โดยค้นหาบน Have I Been Pwned ซึ่งถ้าระบบแจ้งเตือนว่าพบที่อยู่อีเมลนี้เกี่ยวข้องกับ Naz.API นั่นหมายความว่าคอมพิวเตอร์ของคุณเคยติด Malware สำหรับขโมยข้อมูลแล้วอย่างน้อยหนึ่งครั้ง
ในท้ายที่สุดแล้ว ถึงแม้ว่าระบบ Have I Been Pwned จะแจ้งเตือนว่าอีเมลของคุณถูกพบในชุดข้อมูล Naz.API นั่นไม่ได้ครอบคลุมถึงเว็บไซต์ที่ credentials นี้ถูกขโมยมาได้ เนื่องจากชุดข้อมูลนี้มีบางส่วนที่เกี่ยวข้องกับ Malware ขโมยข้อมูล จึงแนะนำให้เปลี่ยนพาสเวิร์ดในทุก ๆ บัญชีที่เคยบันทึกไว้ ซึ่งรวมไปถึงพาสเวิร์ด VPNs ของบริษัท, บัญชีอีเมล, บัญชีธนาคาร, และข้อมูลบัญชีส่วนตัวอื่น ๆ อีกด้วย ยิ่งไปกว่านั้น Malware ขโมยข้อมูลตัวนี้ยังพยายามขโมยข้อมูลเหรียญในกระเป๋าเงินคริปโตเคอเรนซีอีกด้วย ดังนั้นคุณควรที่จะโอนเหรียญทั้งหมดที่มีไปอีกกระเป๋าโดยทันทีถ้าหากมี
สำหรับรายละเอียดข้อมูลเพิ่มเติมเกี่ยวกับบัญชีที่ถูกเปิดเผย คุณสามารถตรวจสอบบน เว็บไซต์ illicit[.]Services ซึ่งปัจจุบันอาจเข้าไม่ได้ เนื่องจากมีผู้ใช้งานจำนวนมากที่ต้องการตรวจสอบเช่นกัน
ที่มา: bleepingcomputer
You must be logged in to post a comment.