W sieci zawrzało po doniesieniach o rzekomym, gigantycznym ataku hakerskim na popularną platformę OnlyFans. Znany w cyberprzestępczym półświatku użytkownik o pseudonimie „Euphoric_Reply_5727” ogłosił na jednym z forów, że wszedł w posiadanie bazy danych zawierającej aż 340 milionów rekordów powiązanych z użytkownikami tego serwisu. Za paczkę informacji żąda kwoty 0,313 BTC, co w przeliczeniu daje około 276 tysięcy złotych. Okazało się jednak, że sprawa jest nieco bardziej skomplikowana i wycieku z OnlyFans wcale nie było.
Zamiast włamania sprytny recykling starych danych
Szczegółowa analiza próbek udostępnionych przez sprzedającego szybko zweryfikowała jego pierwotne, szumne deklaracje o rzekomym włamaniu do wewnętrznych systemów OnlyFans. Szybko ustalono, że struktura plików nie przypomina w tym przypadku profesjonalnego, czystego eksportu z nowoczesnych relacyjnych baz danych. Zamiast tego badacze natrafili na płaskie pliki tekstowe, przepełnione pustymi polami oraz technicznymi znacznikami zastępczymi.
Dodatkowo po bezpośrednim kontakcie z samym oferentem na komunikatorze Telegram, ten ostatecznie przyznał, że platforma OnlyFans wcale nie została przez niego zhakowana. Zamiast tego zastosował on zaawansowaną korelację danych. Przestępca wykorzystał gigantyczne, pochodzące sprzed lat pakiety informacji z innych wycieków. Skojarzył je po prostu z publicznie dostępnymi profilami w mediach społecznościowych (Instagram, X oraz Spotify). Agregując te rozproszone dotychczas rekordy, stworzył on jedną, gigantyczną, spójną bazę powiązań, która bezpośrednio uderza w anonimowość internautów.
Zresztą rzecznik prasowy OnlyFans w oficjalnym oświadczeniu przekazanym redakcji Cybernews również uciął wszelkie spekulacje, nazywając raporty o rzekomym wycieku całkowicie fałszywymi.
Duże zagrożenie dla prywatności twórców i subskrybentów
Chociaż platforma nie zaliczyła klasycznej wpadki bezpieczeństwa, zagrożenie dla użytkowników, a w szczególności dla twórców treści, pozostaje gigantyczne. Sprzedawany pakiet zawiera bowiem nazwy użytkowników, adresy e-mail, numery telefonów, statystyki polubień, a nawet rzekome cztery ostatnie cyfry kart płatniczych. W przypadku tego typu serwisów najgroźniejszym zjawiskiem nie jest wcale utrata hasła, lecz deanonimizacja. Powiązanie internetowego pseudonimu z prawdziwym imieniem, nazwiskiem, prywatnym mailem czy profilem zawodowym otwiera przestępcom drzwi do bezwzględnych działań. Zgromadzone w ten sposób informacje stanowią idealne paliwo do przeprowadzania ataków phishingowych, stalkingu, podszywania się pod inne osoby oraz szantażu i wymuszeń finansowych (doxxing).
Opisany mechanizm opiera się na prostym fakcie. Większość internautów używa jednego lub dwóch adresów e-mail do rejestracji we wszystkich serwisach. Jeśli ten sam e-mail został użyty na ogólnodostępnym forum, platformie streamingowej oraz w serwisie, w którym użytkownik chce zachować pełną anonimowość, cyberprzestępcy mogą łatwo powiązać te konta. W ten sposób publiczne dane z jednego profilu można przypisać do prywatnej aktywności w innym miejscu.
Podstawą ochrony przed taką deanonimizacją jest bezwzględne stosowanie higieny danych. Do rejestracji w serwisach o wysokim poziomie prywatności należy zakładać dedykowane, unikalne adresy e-mail. Dobrym rozwiązaniem jest też korzystanie z funkcji maskowania poczty (np. losowych aliasów e-mail generowanych przez menedżery haseł lub systemy operacyjne). Dzięki temu każdy serwis widzi inny adres, co technicznie uniemożliwia przestępcom masowe łączenie danych z różnych baz.
Źródło tekstu: CyberNews, TechRepublic / Zdjęcie otwierające: Unsplash (@writecodenow), OnlyFans