آژانس ملی جرم و جنایت بریتانیا (NCA) و واحد ملی جرایم سایبری (NCCU) 225 میلیون رمز عبور و ایمیل سرقت شده را کشف کرده و آنها را به HaveIBeenPwned (HIBP) تحویل داده اند.

225 میلیون رمز عبور جدید به بخشی از بدنه 613 میلیون رمز عبور موجود HIPB در مجموعه رمزهای عبور Pwned تبدیل شده است که به اپراتور های وب سایت ها، هش رمز های عبور را ارائه می دهد تا اطمینان حاصل شود که کاربران هنگام ایجاد حساب جدید از آنها استفاده نکنند. افراد می توانند از صفحه گذرواژه Pwned HIPB استفاده کنند تا ببینند آیا رمز عبور آنها در نقض قبلی فاش شده است یا خیر. برای دسترسی به این پایگاه اینجا را کلیک کنید.

این سرویس به سازمان‌ ها کمک می‌کند تا به توصیه‌ های NIST عمل کنند. این توصیه ها مبنی بر است اینکه کاربران باید از استفاده از هر رمز عبوری که قبلاً در معرض نقض قرار گرفته است جلوگیری کنند. هدف این الزام رسیدگی به استفاده روزافزون از رمز عبور های غیر ایمن است، جایی که مجرمان لیست های بزرگی از ترکیب نام کاربری و رمز عبور فاش شده و پرکاربرد را در برابر حساب های آنلاین مختلف آزمایش می کنند. 225 میلیون رمز عبور می تواند یکی از این لیست ها باشد.

225 میلیون رمز عبور، کمی عمیق تر:

FBI سال گذشته هشدار داده است که این تکنیک از سال 2017 برای به خطر انداختن 50000 حساب بانکی آنلاین استفاده شده است. دلیل کار این است که بسیاری از مردم هنوز از رمز عبور یکسان برای محافظت از چندین حساب استفاده می کنند. اگر هر یک از آن حساب‌ هایی که با رمز عبور مشترک محافظت می‌شوند، هک شود، حساب‌ های دیگر شخص نیز در برابر حمله های متنوع تحت شبکه آسیب پذیر خواهد بود.

این تکنیک یک دهه پیش و پس از فاش شدن میلیارد ها حساب به دنبال نقض گسترده داده ها، به یک مشکل تبدیل شد و به مهاجمان مجموعه داده های اعتباری عظیمی را برای آزمایش در برابر حساب های با اهمیت متفاوت اعطا کرد. مجموعه هایی نظیر این 225 میلیون رمز عبور جدید که برای حمله به حساب های بانکی و شبکه های اجتماعی و… استفاده می شوند.

NCA در بیانیه‌ای به HIPB گفت: «در طول فعالیت‌های عملیاتی اخیر NCA، تیم Mitigation@Scale NCCU توانست مقدار زیادی از اعتبارنامه‌ های احتمالی در معرض خطر (ایمیل‌ها و رمزهای عبور مرتبط) را در یک مرکز ذخیره‌سازی ابری در معرض خطر شناسایی کند.»

از طریق تجزیه و تحلیل، مشخص شد که این اعتبارنامه ها انباشته ای از مجموعه داده های نقض شده است که شامل 225 میلیون رمز عبور نیز می باشد. این واقعیت که این اطلاعات توسط کاربرانی در تاسیسات ذخیره سازی ابری یک کسب و کار بریتانیا قرار داده شده بودند که تخصصی در بحث امنیت نداشته اند. این به این معنی است که اعتبارنامه ها اکنون در دسترس عموم وجود دارد.

NCA به بی‌بی‌سی گفت که سال گذشته با همکاری پلیس بریتانیا متوجه شد که تسهیلات ذخیره‌سازی ابری یک سازمان بریتانیایی به خطر افتاده است که منجر به آپلود بیش از 40000 فایل توسط مجرمان سایبری در سرورهای آنها شده است. از جمله این فایل‌ها، مجموعه ایمیل‌ها و رمزهای عبور در معرض خطر بود.

NCA گذرواژه‌ های در معرض خطر را به اپراتور HIBP، یعنی تروی هانت، تحویل داد، او یافته‌های NCCU را تأیید کرد که 225 میلیون رمز عبور در مجموعه داده‌های Pwned Passwords موجود نیستند. گذرواژه‌های جدید موجود در حافظه پنهان شامل موارد زیر است:

  • flamingo228
  • Alexei2005
  • 91177700
  • 123Tests
  • aganesq

NCA همچنین اینگونه بیان کرد که:

"تیم NCCU مقایسه ای بین داده های به خطر افتاده با پایگاه داده شامل رمز عبور های HIBP انجام داد تا هر رمز عبوری که قبلاً دیده نشده بود و اکنون در مالکیت عمومی قرار دارد را شناسایی کند."

سازمان ها می توانند مجموعه داده های هش شده را در قالب SHA-1 در یک فایل فشرده 17.2 گیگابایتی دانلود کنند. این اولین نسخه ای است که فهرستی از اعتبارنامه های به خطر افتاده که مجریان قانون، مانند FBI، در طول تحقیقات کشف کرده اند به دست می دهد.

هانت تاکید کرد گذرواژه‌های ارائه شده نظیر 225 میلیون رمز عبور به HIPB توسط FBI و NCA برای استفاده این تیم نیست، بلکه برای جامعه مجازی است، زیرا هر کسی می‌تواند از آن برای برآورده کردن توصیه‌های NIST برای کاهش مخاطرات اعتباری استفاده کند. 

گفتنی است که نسخه امروزی که شامل 225 میلیون رمز عبور جدید نیز هست، تعداد کل گذرواژه‌ های Pwned را به 847223402 می‌رساند که 38 درصد نسبت به نسخه گذشته افزایش یافته است.