Создатель базы взломанных имейлов, которую СМИ назвали самой большой в истории, рассказал Би-би-си, что пришел в нелегальный бизнес «из-за нищеты» в его постсоветской стране, а на покупку данных у хакеров сначала взял микрозаём.
1 декабря 2017 года хакер под псевдонимом Sanix опубликовал на англоязычном форуме объявление: всего за 40 долларов он обещал открыть доступ к базе данных, состоящей из миллионов адресов и паролей электронной почты.
Массовый взлом имейлов — один самых распространенных способов заработка для хакеров. Приобретая подобные базы, злоумышленники нередко используют их для похищения данных, шантажа и мошенничества.
10 дней спустя администрация форума удалила объявление: как оказалось, часть данных Sanix скачал на других форумах и просто «переупаковал» для продажи, тем самым нарушив правила сообщества.
Кроме того, в Sanix узнали другого пользователя форума, уже заблокированного «за обман покупателей». Многие покупатели, впрочем, остались довольны базой. «LOVE IT», — написал клиент под псевдонимом Putin. Судя по названиям папок в архиве, основным языком Sanix был русский.
Австралийский специалист по кибербезопасности Трой Хант уже много лет охотится за подобными базами на хакерских форумах. Он создал сервис, позволяющий проверить, содержится ли имейл хотя бы в одной из утечек.
17 января Хант описал очередную находку — самую большую на его памяти. Он называл базу данных Sanix «Коллекция № 1» и подсчитал, что там примерно 773 млн уникальных адресов электронной почты и 21 млн уникальных паролей (люди не слишком изобретательны в придумывании паролей, потому один пароль может подходить к нескольким имейлам).
Мировые СМИ сообщили, что обнаруженная Хантом публикация — самая большая в истории. По подсчетам Radicati Group, в 2018 году в интернете было примерно 6,6 млрд активных адресов электронных почт.
«Звучит как бы страшно»
Вечером 17 января Би-би-си связалась с Sanix, который не подозревал, что стал героем одной из главных новостей дня. «Звучит как бы страшно. Я как бы продавец. Но я эти базы не создавал. А собирал на других источниках», — отреагировал он отрывистыми сообщениями в одном из мессенджеров.
Sanix поделился с Би-би-си своей историей. Некоторые ее детали удалось проверить по открытым источникам.
Sanix живет в небольшом городе в одной из постсоветских стран. В бизнес по продаже взломанных имейлов в 2017 году его привела «нищета в стране, ну и потребность в деньгах». Свою последнюю коллекцию имейлов Sanix собирал в течение полугода при помощи участников популярного русскоязычного хакерского форума. Их Sanix характеризует как людей, «имеющих опыт и обогатившихся в этом на сотни тысяч долларов». Ни с одним из них при этом Sanix лично не знаком.
По словам Sanix, сам он не взламывал имейлы и даже не умеет это делать. Для покупки первых архивов он взял микрозаём. Перепродав архивы, погасил долг, затем купил телефон и ноутбук.
«Я вложил около 250 долларов, окупилось вполне. Примерно в 50-100 раз больше, точную сумму не назову». При этом, сравнивая себя с конкурентами, Sanix утверждает, что зарабатывает «копейки».
Собеседник Би-би-си рассказал, у него нет официальной работы и стороннего бизнеса. Окружающим представляется как фрилансер. 70% его покупателей англоязычные, остальные — русскоязычные. Часто к Sanix обращаются с просьбой взломать кого-то (он, как сам говорит, отказывается) или найти конкретный взломанный имейл в базе (на это — соглашается).
Sanix боится, что после такого внимания со стороны экспертов и прессы к нему постучатся правоохранительные органы. Законы своей страны, регулирующие подобную деятельность, он не изучал. Свободное время проводит в онлайн-баталиях World of Tanks и Rust.
«Люди делают одну большую ошибку — они ставят глупые, легкие пароли, они теряют свои данные из-за вирусов и сайтов, которые не имеют цифровой подписи и являются фишинг-сайтами, — заключает продавец. — Хакеры выкладывают эти базы, я их лишь собираю».
Вредные привычки
Американский специалист по кибербезопасности Брайан Кребс, также изучивший базу Sanix, не согласился с выводами Ханта: по его информации, «уникальные» имейлы и пароли уже встречались на форумах два-три года назад.
Парадоксально, но выводы Кребса из этой истории совпадают с тем, что говорил сам Sanix.
«Основная причина взлома многих учетных записей состоит в том, что слишком много людей имеют неприятную привычку выбирать слабые пароли, использовать одинаковые пароли и имейлы на нескольких сайтах, не пользоваться преимуществами многофакторной аутентификации, когда есть такая возможность», — отметил Кребс.
«Если эта «Коллекция № 1» вас напугала, смена вашего пароля (паролей), безусловно, не повредит, — пишет эксперт, — если, конечно, у вас нет вредной привычки повторно использовать пароли. Ваш пароль, вероятно, стоит гораздо дороже для вас, чем для киберпреступников (в случае с «Коллекцией № 1″, меньше 0,000001 цента за пароль)».
По количеству имейлов база данных Sanix не превзошла взлом Yahoo в 2013 году (3 млрд пар логин-пароль), но те данные никогда не продавались на открытых площадках.