Утилита Tripwire помогла обнаружить утечки данных с 19 сайтов уже во время тестового запуска. При этом, как отметили в своем исследовании разработчики инструмента, один из скомпрометированных ресурсов насчитывает 45 миллионов зарегистрированных пользователей.

Группа ученых из Калифорнийского университета в Сан-Диего — Джо ДиБлазио (Joe DeBlasio), Стефан Сэвидж (Stefan Savage), Джоффри Волкер (Geoffrey M. Voelker) и Алекс Снорен (Alex C. Snoeren) — создали Tripwire, чтобы любой мог отследить взлом своих учетных записей. Для этого утилита заводит аккаунты на одном или более ресурсах, используя один и тот же уникальный email-адрес. Везде устанавливается одинаковый пароль, совпадающий с паролем почтового ящика. Задача Tripwire — регулярно отслеживать входы в почту. Если кто-то проник в специально созданный ящик, значит, взломали одну из привязанных к нему учеток.

В ходе тестового запуска команда зарегистрировалась на 2300 сайтах, использовав более 100 тысяч контрольных email-адресов. По итогам исследования выяснилось, что 19 ресурсов взломали, причем на одном из этих ресурсов зарегистрировано 45 миллионов учетных записей. Это весьма солидное число: так, Telegram, например, насчитывает 100 миллионов активных пользователей.

Ученые связались со всеми скомпрометированными сайтами, но, к их удивлению, ответа ни от кого не последовало. Тем не менее авторы исследования отказываются называть пострадавшие ресурсы.

«Я был уверен, что ресурсы, которым мы сообщили об утечках, отнесутся к этому со всей серьезностью, — сетует Алекс Снорен, профессор компьютерных наук и один из авторов Tripwire. — Проблема в том, что ни один из сайтов не соглашался на участие в эксперименте, а наши результаты дают повод для исков и финансовых взысканий. В конечном итоге мы решили передать ответственность за разглашение самим компаниям».

Исходный код Tripwire доступен на GitHub, и разработчики надеются, что владельцы сайтов возьмут этот инструмент на вооружение. Кроме того, подробное описание утилиты и эксперимента опубликовано в научной работе Tripwire: Inferring Internet Site Compromise («Tripwire — против взлома веб-сайтов»).

Примечательно, что утилита также помогает определить ресурсы, которые хранят пароли в виде открытого текста или кодируют их через слабые алгоритмы шифрования. Для этого заводится несколько аккаунтов, часть — с простыми паролями, часть — со сложными и длинными. Если взломщик проникает во все привязанные почтовые ящики, то ресурс, скорее всего, подходит к защите ключей довольно небрежно.

На всякий случай разработчики добавили способ удостовериться в том, что взломали именно проверяемые сайты, а не почтовый сервис. Для этого они зарегистрировали 100 тысяч контрольных электронных ящиков, не связанных с другими ресурсами. Пока в них никто не заходит, можно с уверенностью говорить о взломе на стороне, а не в службе почты.

Категории: Аналитика, Кибероборона, Уязвимости