+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost privatnih resursa (https://bezbedanbalkan.net/forum-12.html)
+--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-13.html)
+--- Thread: Analiza 332 miliona e-mail adresa koji su skrejpovani sa platforme SocRadar-a (/thread-1598.html)
Analiza 332 miliona e-mail adresa koji su skrejpovani sa platforme SocRadar-a - VincaSec - 08-06-2024
Maliciozni akter je objavio na jednom hakerskom forumu ogromnu količinu podataka od 332 miliona e-mail adresa, navodno ukradenih od kompanije SocRadar. On tvrdi da su te adrese skrejpovane od SocRadar-a u julu 2024. godine od strane drugog malicioznog aktera, koji je pokušao da ih proda za 7.000 dolara. Ovaj prvi akter je, međutim, kupio podatke i odlučio da ih podeli hakerskoj zajednici.
Ovaj incident se ne smatra klasično curenje podataka, već se radi o skrejpiranju podataka, automatizovanom procesu izdvajanja informacija sa veb lokacija. Maliciozni hakeri su u ovom slučaju verovatno iskoristili propust API-ja ili druge ranjivosti na platformi SocRadar-a da bi prikupili podatke, oponašajući ljudsko ponašanje kako bi zaobišli mere protiv skrejpovanja.
SocRadar je platforma za cyber sigurnost koja koristi veštačku inteligenciju da prati i analizira pretnje cyber bezbednosti. Platforma sakuplja podatke o različitim pretnjama, uključujući i e-mail adrese, kako bi pomogla kompanijama da se zaštite od napada.
Skrejpovanje e-mail adresa od SocRadar-a može se zloupotrebiti na nekoliko načina:
Spam i phishing - Maliciozni hakeri mogu koristiti te adrese da šalju neželjenu poštu ili phishing poruke, pokušavajući da prevare korisnike da otkriju lične informacije ili da nateraju da žrtve instaliraju zlonamerni softver.
Credential stuffing - Maliciozni hakeri dobijaju spisak email adresa, bilo da su ukradeni od SocRadar-a u ovom slučaju, ili iz drugih kompromitovanih baza podataka. Kreira se spisak sa email adresama i odgovarajućim lozinkama, koje se često nalaze u kombinaciji sa email adresama u već kompromitovanim bazama podataka ili nađenim u stealer logs. Nakon toga prave automatske skripte za pokušaj pristupa različitim nalozima sa spiska, koristeći email adresu i lozinku.
Analizom podataka skrejpovanih email adresa utvrđeno je:
RE: Analiza 332 miliona e-mail adresa koji su skrejpovani sa platforme SocRadar-a - milos_rs - 08-07-2024
I ja sam nešto malo analizirao...
u fajlu je ukupno 7671 jedinstvenih mejlova sa ccTLD .rs
ali to kao i uvek sa ovakvim velikim bazama nije baš precizno jer ima upisa sa domenima koji ne postoje, na primer airforceemail.rs airforce.rs aichi.rs imaju na stotine upisa ali domeni nisu ni registrovani.
Onda aim.rs jeste registrovan i postoji, ali ima 448 upisa što nema nikakvog smisla, i svi mejlovi su očigledno nešto što nema veze sa ovakvom organizacijom.
mail.rs jeste registrovan, ali nema nikakve mejl server a ovde navodno ima 445 upisa.
Nije mi jasno kako su ovi mejlovi navodno provereno nalozi na socradar-u kako onaj ko ih je procureo kaže. Baca sumnju na ceo spisak.
Ali ajde kad smo već tu, kad izbacim sve te čudne ostanu 4605 jedinstvenih zapisa i ovi domeni kao najkorišćeniji (broj je količina jedinstvenih zapisa sa tim domenom) :
Code:
516 hotmail.rs
456 hushmail.rs
455 outlook.rs
313 eunet.rs
252 sbb.rs
186 open.telekom.rs
124 jancic.rs
116 tippnet.rs
77 ptt.rs
76 sezampro.rs
73 eprosveta.ac.rs
65 yandex.rs
61 mts.rs
43 uns.ac.rs
27 elfak.rs
23 nigge.rs
18 orion.rs
16 vipos.edu.rs
15 stcable.rs
14 telenor.rs
13 telekom.rs
12 ssp.org.rs
12 gmail.rs
10 beotel.rs
9 ssvs.rs
9 fmk.edu.rs
8 tfzr.rs
8 gordonsubotica.rs
7 plamen.rs
7 maxbet.rs
7 ict.edu.rs
7 elfak.ni.ac.rs
6 uni.rs
6 tmf.bg.ac.rs
6 rgf.bg.ac.rs
6 osrdomanovic.edu.rs
6 novosti.rs
6 madnet.rs
6 3dnet.rs
5 yahoo.rs
5 teslabg.edu.rs
5 student.fon.bg.ac.rs
5 singimail.rs
5 sbb.co.rs
5 isb.edu.rsgde je jasno da hotmail.rs hushmail.rs i outlook.rs može da upotrebljava ceo svet i ne znači da iza tih naloga stoji neko iz Srbije
Zanimljivo je da se jancic.rs visoko kotira takođe i u mojoj analizi Analizi kredencijala iz raznih procurelih listi, za domaće domene i sajtove u Srbiji pod kategorijom "Količina zapisa korišćenih mejl adresa kao deo korisničkog imena." što jeste indikacija da ovde jesu korišćene procurele liste kao što je onaj koji je ovo objavio i precizirao.
i za kraj domeni sa gov.rs :
Code:
3 mod.gov.rs
2 abs.gov.rs
1 uzzpro.gov.rs
1 stat.gov.rs
1 rzsport.gov.rs
1 rdrr.gov.rs
1 purs.gov.rs
1 nsz.gov.rs
1 narr.gov.rs
1 mup.gov.rs
1 mos.gov.rs
1 minpolj.gov.rs
1 mduls.gov.rs
1 hidmet.gov.rs
1 ekologija.gov.rs
1 devizni.gov.rs
1 bia.gov.rs
1 beograd.gov.rsRE: Analiza 332 miliona e-mail adresa koji su skrejpovani sa platforme SocRadar-a - milos_rs - 08-09-2024
SocRadar je odgovorio sa SOCRadar’s Response to the USDoD’s Claim of Scraping 330 Million Emails :
Quote:Which Data Was Allegedly Leaked?
The threat actor used our platform to identify Telegram channel names and subsequently crawled these channels to collect email addresses. We have verified that these email addresses were sourced from publicly accessible channels.
How Did the Threat Actor Access the Data?
The threat actor purchased a Dark Web license using a legitimate company account, granting them access to SOCRadar’s platform like any other customer. While technically compliant with our Terms of Service, this method did not adhere to our intended use policies.
što znači da spisak ne sadrži mejlove od naloga sa SOCRadara, što i ima smisla jer mnogi mejlovi nemaju smisla da es nalaze na spisku, a ima i gomila nekih nepostojećih kao što sam i u analizi video. Ovo su samo nalozi skrejpovani kroz SOCRadar platformu sa nekih telegram grupa koje prodaju verovatno podatke dobijene infostealerom.