Analitycy NordVPN przeanalizowali zbiór danych obejmujący 54 miliardów plików cookie i ich zestawienia, które były wystawione na sprzedaż w tak zwanym dark webie. Chcieli dowiedzieć się jak zostały wykradzione, jakie zagrożenia dla bezpieczeństwa i prywatności stanowią i jakiego rodzaju informacje zawierają. Analiza miała "rzucić światło na to, jak użytkownicy sieci narażają swoje konta, pieniądze i prywatne informacje poprzez bezmyślne akceptowanie plików cookie".
Ciasteczka, albo inaczej pliki cookie, są jednym z podstaw tego jak obecnie funkcjonuje internet. Zasadniczo to małe pliki tekstowe, które witryna internetowa przechowuje na naszym urządzeniu.
Najczęściej stosowane są w celu optymalizacji korzystania ze stron internetowych. Jednocześnie stosowane są także do tego, by gromadzić różne rodzaje danych, np. statystyczne, które pozwalają na identyfikacje sposobu korzystania użytkowników ze stron internetowych. To z kolei można wykorzystać do ulepszenia ich funkcjonowania.
Często są wykorzystywane także do tego, by na bazie tego, co oglądamy, jakie witryny odwiedzamy, dostarczać nam reklamy w teorii dopasowane do naszych zainteresowań. Mogą służyć także do podtrzymywania sesji użytkownika w danym serwisie internetowym po zalogowaniu, dzięki czemu na każdej jego podstronie nie trzeba wpisywać loginu i hasła.
Niektóre z tych informacji mogą być bardzo cenne. Dlatego ciasteczka mogą interesować przestępców, którzy będą próbowali je wykraść przy pomocy malware - złośliwego oprogramowania, które wydobywa informacje z komputerów użytkowników np. poprzez śledzenie wszystkiego co pisaliśmy na klawiaturze.
Ciasteczka na sprzedaż
Analitycy NordVPN przebadali zbiór 54 miliardów plików cookies wystawionych na sprzedaż na rynkach w dark webie. Tzw. ciemnej stronie internetu. Zauważyli, że 17 proc. z nich wciąż było aktywnych, co stanowi zwiększone ryzyko, bo są aktualizowane na bieżąco podczas korzystania z sieci. Zaznaczyli przy tym jednak, że nawet nieaktywne pliki cookie mogą stanowić zagrożenie z powodu zawierania informacji użytkownika, które są przydatne z punktu widzenia oszustów. Mogą zawierać hasła i loginy lub informacje, które mogą oni wykorzystać do manipulacji.
Jak podano, ponad 2,5 mld wszystkich plików cookie w zbiorze danych pochodziło z Google, a kolejne 692 mln - z YouTube. Z kolei od firm Microsoft i Bing pochodziło ponad 500 mln.
Adrianus Warmenhoven, ekspert ds. cyberbezpieczeństwa firmy NordVPN poinformował, że pliki cookie z takich kont są "szczególnie niebezpieczne, ponieważ mogą zostać wykorzystane do uzyskania dostępu do bardziej szczegółowych danych logowania, na przykład poprzez odzyskiwanie hasła, systemy korporacyjne lub pojedyncze logowanie (SSO)”.
Największą kategorią plików cookies (10,5 mld) był "przypisany identyfikator", a kolejną "identyfikator sesji" (739 mln) — te pliki cookie są przypisywane lub łączone z konkretnymi użytkownikami w celu utrzymania aktywnych sesji lub identyfikacji ich na stronie internetowej w celu świadczenia usług. Kolejne miejsca - jak podano - to 154 mln uwierzytelniających plików cookie i 37 mln plików służących do logowania. W kategorii danych osobowych najczęściej pojawiały się: imię i nazwisko, adres e-mail, miasto, hasło i adres zamieszkania.
NordVPN przestrzega, że cyberprzestępca może wykorzystać aktywne pliki cookie do zalogowania się na czyjeś konto. Zaś znajdujące się w nim informacje wraz z danymi zawartym w ciasteczkach mogą pozwolić na stworzenie szczegółowych profili użytkowników i przeprowadzanie ataków na ludzi, a także ich miejsca pracy.
Jednocześnie nie wiadomo w ilu przypadkach są to dane kompletne, a w ilu szczątkowe. Jednak nawet takie mogą zostać wykorzystane przeciwko nam przy próbie manipulacji. Np. mail od "naszego", ale jednak fałszywego banku. Łatwiej uwierzymy w informacje od banku z prośbą o weryfikację danych, jeśli mamy w nim konto. Albo np. hasło do konta w mediach społecznościowych, dzięki któremu potem ktoś może pod nas się podszyć i wykorzystać nasz profil do oszukania znajomych (np. na blika).
Hakerzy wykorzystali złośliwe oprogramowanie
Do kradzieży tych plików cookie wykorzystano 12 różnych rodzajów złośliwego oprogramowania. Prawie 56 proc. zostało zebranych przez Redline, oprogramowanie keylogger do kradzieży informacji.
Eksperci Naukowej Akademickiej Sieci Komputerowej (NASK) przekazali PAP, że "wycieki ciasteczek" są najczęściej wynikiem działania na urządzeniu złośliwego oprogramowania. Tzw. infostealery potrafią wykradać także informacje o adresie IP, przeglądarce, a także hasła. Haker ma wówczas dostęp do naszych zasobów bez znajomości hasła oraz bez konieczności podawania drugiego składnika uwierzytelniającego. Ich zdaniem skuteczną ochroną przed takim zagrożeniem jest instalowanie oprogramowania wyłączenie z zaufanych źródeł, stosowanie programów antywirusowych i dbanie o cyberhigienę.
Do opublikowanych badań wykorzystano dane zebrane z kanałów na Telegramie, na których hakerzy ogłaszają, jakie skradzione informacje mają na sprzedaż. W ten sposób powstał zbiór danych zawierający informacje o ponad 54 miliardach plików cookie.
Źródło: PAP
Źródło zdjęcia głównego: Shutterstock