Скомпрометированы данные десятков тысяч пользователей «ВКонтакте»

[Vader]

Сегодня в свободный доступ попали данные учетных записей более чем 130 тысяч пользователей популярной российской социальной сети «ВКонтакте».
Информация была опубликована на одном из хакерских сайтов.
Наши эксперты проанализировали эти данные и подтверждают факт компрометации.
Согласно нашей информации инцидент выглядит следующим образом:
Сайт, указанный в сообщении (83.133.120.252), известен «Лаборатории Касперского» как фишинговый и блокируется при попытке обращения к нему персональными продуктами.
Вредоносная программа Trojan.Win32.VkHost.an (детектируется нами с 28 июля) распространялась через приложение ВКонтакте (hxxp://vkontakte.ru/app711384?&m=2, в настоящий момент заблокировано администрацией ресурса).
После установки в систему данный троянец подменял файл hosts на следующий:

Код Выделить Развернуть

83.133.120.252  vkontakte.ru
83.133.120.252 odnoklassniki.ru


Потом, когда пользователь пытался открыть сайт одной из этих социальных сетей, то его перенаправляли на фишинговую страницу, в которой надо было залогиниться.
Логин и пароль уходили в базы на том же сайте 83.133.120.252. В настоящий момент база «Одноклассников» пуста, поэтому говорить о компрометации данных пользователей и этой социальной сети — пока рано.
 
После того, как пользователь логинился на поддельной странице, происходил редирект сначала на новую страницу. На данной странице имеется следующий текст:

ВНИМАНИЕ!
Ваш аккаунт опознан системой как потенциально опасный.
С вашего IP-адресса ведётся Спам-рассылка.
Аккаунт признан фейком,созданным злоумышленниками для Спам-рассылок, и будет удалён через 24 часа после прочтения данного уведомления, в случае отказа от подтверждения аккаунта.

  Если аккаунт настоящий, его необходимо подтвердить.

  Отправьте смс с текстом orderit30193 (без пробелов), на номер 6008  В ответном смс вам придёт Код активации.

  Стоимость смс соответствует стоимости по вашему тарифному плану.

Что самое интересное, если пользователь отправит смс, то он действительно получает некий код, так как на сайте имеются страницы с следующим содержанием:

Kод принят! Скачайте и запустите файл – Скачать

По ссылке находится файл access.exe, который восстанавливает оригинальный файл hosts (127.0.0.1 localhost).

Вы ввели не правильный код.Вернитесь и введите код из смс сообщения!

Мы рекомендуем всем пользователям «ВКонтакте» и «Одноклассников» проверить содержимое своих файлов hosts, которые находятся в каталоге %windir%\system32\drivers\etc, и если в них обнаружены ссылки на vkontakte.ru и odnoklassniki.ru — удалить данные записи.
Обязательно также сменить все пароли от всех аккаунтов! (не только в социальных сетях, но и в электронной почте и прочие). В случае попадания на подобные фишинговые страницы, ни в коем случае не вводить свои логин и пароль и не отправлять никаких SMS-сообщений.
UPD. Мы более детально перепроверили данные и должны сообщить, что речь идет не о 130 000 аккаунтах, как было написано первоначально, но о более чем 40 000.
-----------------

http://www.securelist.com/ru/weblog/39132/Skomprometirovany_dannye_desyatkov_tysyach_polzovateley_VKontakte
http://lenta.ru/news/2009/07/31/hack/

[AntonFox]

Что самое интересное, если пользователь отправит смс, то он действительно получает некий код, так как на сайте имеются страницы с следующим содержанием: По ссылке находится файл access.exe, который восстанавливает оригинальный файл hosts (127.0.0.1 localhost).
В случае попадания на подобные фишинговые страницы, ни в коем случае не вводить свои логин и пароль и не отправлять никаких SMS-сообщений.

То есть если отправляют СМС, то эту фигню из системы убирают - "восстанавливает оригинальный файл". Поэтому ни в коем случае не отсылайте СМС! А то вдруг у злодеев ваш логин не записался - как же они его узнают если файл восстановился оригинальный?

UPD. Мы более детально перепроверили данные и должны сообщить, что речь идет не о 130 000 аккаунтах, как было написано первоначально, но о более чем 40 000.

Детально проверили? Все 130 тысяч записей? За один день? Ну-ну.

[Vader]

За один день?

Конечно, это взлом юзеров не за один день. Но таких взломанных действительно много. Только у меня более 3 человек знакомых столкнулись с этой проблемой.

А то вдруг у злодеев ваш логин не записался - как же они его узнают если файл восстановился оригинальный?

Чего-чего ? Логин воруют, когда браузер идёт искать сайт на заранее заданный в hosts ip. (фишинг)
Файл оригинальный по умолчанию всегда
127.0.0.1 localhost

Это никак не связано.

[AntonFox]

Конечно, это взлом юзеров не за один день. Но таких взломанных действительно много. Только у меня более 3 человек знакомых столкнулись с этой проблемой.

Для того, чтобы проверить - надо взять инфу с того сайта хакеров, затем взять свою базу и сверить их. С учетом что у хакеров на сайте данные могут быть и не структурированы, то надо либо писать прогу для структуризации, либо вручную сравнивать. Далее, на сайте вконтакте вряд ли всего 130 тысяч пользователей, скорее всего их там гораздо больше, следовательно для каждой записи с сайта хакеров надо проверить совпадение по ВСЕЙ базе вконтакте. И так тысячи раз. Учитывая такой объем информации я дико сомневаюсь что так быстро все проверили. Скорее всего просто скрывают что скомпрометированных гораздо больше чем 130 тыс.

Чего-чего ? Логин воруют, когда браузер идёт искать сайт на заранее заданный в hosts ip. (фишинг)
Файл оригинальный по умолчанию всегда
127.0.0.1 localhost
Это никак не связано.

Читай выше - после отправки СМС оригинальный файл восстаналивается, то есть становится 127.0.0.1 localhost. А именно это и НЕ рекомендуют! Не отправляйте СМС дабы у вас был НЕ оригинальный файл, а эта шняга.

[Vader]

А именно это и НЕ рекомендуют!

Где написано ? Там сказано, что СМС не надо отправлять, потому что это развод и фишинг. Надо просто самостоятельно открыть файл etc/hosts и удалить оттуда лишние записи.

У бол-ва пользователей etc/hosts ограничивается только одной записью.

Для того, чтобы проверить

Скорее всего проверяли это не спецы из securelist, а разработчики контакта. Учитывая, что они имеют доступы к своей же базе, спарсить эти 130+ к записей и проверить совпадения пароля для каждой в БД — вполне тривиальная задача.

[Human-oid]

Читай выше - после отправки СМС оригинальный файл восстаналивается, то есть становится 127.0.0.1 localhost. А именно это и НЕ рекомендуют! Не отправляйте СМС дабы у вас был НЕ оригинальный файл, а эта шняга.

не имелось ли в виду "не платите деньги хакерам а отредактируйте файл сами" ?

[2^8]

Можно ли выяснить, где и на кого зарегестрирован короткий номер для отправки СМС? Или 99% что все пути приведут на какого-нибудь бомжа? А если ему дать бутылку водки, он сдаст своих заказчиков.

[Human-oid]

Можно ли выяснить, где и на кого зарегестрирован короткий номер для отправки СМС? Или 99% что все пути приведут на какого-нибудь бомжа? А если ему дать бутылку водки, он сдаст своих заказчиков.

есть другой сервис, показывает сколько стоит отправить смс на короткий номер http://smscost.ru/number/6008

[HEch]

У моей сестры на ноуте эт было... Я ей удалил....

[AntonFox]

.... Учитывая, что они имеют доступы к своей же базе, спарсить эти 130+ к записей и проверить совпадения пароля для каждой в БД — вполне тривиальная задача.

Тривиальная? Ну в плане алгоритма - не спорю, но в плане затрат времени - ну не успели бы они за неполный день все это сделать!
Зайди на сайт вконтакте -

Нас уже 39 196 000.

Проверить надо имя, фамилию и отчество как минимум или логин+пароль (я хз чего там хакеры выложили).

[Vader]

Проверить надо имя, фамилию и отчество как минимум или логин+пароль (я хз чего там хакеры выложили).

Файл был в формате почта (логин):пасс. Никакие фамилии проверять не надо.
У сайта есть мощный алгоритм поиска людей, причем выбирать можно достаточно много результатов. И учитывая, что администрация уже сменила в течение пары дней всем взломанным пассы, можно сделать вывод, что задача и ей выполнение действительно тривиальны.

[AntonFox]

Файл был в формате почта (логин):пасс. Никакие фамилии проверять не надо.
У сайта есть мощный алгоритм поиска людей, причем выбирать можно достаточно много результатов. И учитывая, что администрация уже сменила в течение пары дней всем взломанным пассы, можно сделать вывод, что задача и ей выполнение действительно тривиальны.

Еще раз повторяю - 39млн и 130к это цифры совсем разного порядка!!! Найти среди 39млн человек 130к нужных это они за день сделали, а сменить 130к паролей для уже найденных у них заняло 2 дня? Бред.

[Vader]

Я не называл никаких дат, я не владею этой информацией. Кроме того, я не люблю спорить о системе, внутреннее устройство которой не знаю точно. И тебе не советую.

[Joe]

Чего то вы опять усиленно работаете лопатой у вентилятора.
В чем именно вопрос?
— Врут ли нам СМИ? Врут конечно, точнее говорят то, что велено говорить.
— Вопрос в том, возможно ли проверить все записи за день? Я отвечу, что всё зависит от подключенных мощностей. Кто сказал, что "администрация" контакта будет пользоваться теми же ресурсами при подсчете, которыми кормит своих подопечных?
— Или под вопросом подлом 130К аккаунтов? Скорее всего сломано меньше, но больше 40К. В абсолютных цифрах число чудовищное, но в сравнении с 49 миллионами 130К — всего навсего четверть процента.
— Кто сказал что будут искать через логин и пасс? Ни кто этого не говорил. Я бы проверял по идентификаторам в базе.
Итак, я считаю, что красть акки не хорошо, что хакерские атаки - это плохо, что 130К юзверей, потерявших контроль над своими акками - бедолаги которых жалко. Случилась ли трагедия или какой-то "взлом века"? Я считаю, что — нет.