Во последните денови, заедницата за сајбер безбедност сведочи на уште едно огромно истекување на податоци, наречено ALIEN TXTBASE, кое неодамна беше додадено во листата на податоци кои ги содржи сајтот Have I Been Pwned (HIBP) – сајт на кој бесплатно може да проверите дали вашиот мејл е хакиран и во кои хакови и истекувања се наоаѓаат вашите податоци.
Што содржи ALIEN TXTBASE?
ALIEN TXTBASE наводно содржи над 23 милијарди записи и беше споделен на Телеграм канал, а збирката од податоци од експертите се опишува како збирка на т.н. stealer logs, односно украдени податоци од уреди заразени со малициозен софтвер. Листата е објавена во текот на февруари 2025-та година, а според HIBP во неа има 23 милијарди записи во кои може да се пребројат 284 милиони уникатни е-мејл адреси, заедно со веб сајтовите каде што биле внесени мејловите и користени лозинките.
Што се stealer logs?
Stealer logs (македонски: датотека на украдени податоци) е индустриското име за бази на податоци што содржат украдени податоци, генерално добиени преку малициозен софтвер кој бил инсталиран на системите на жртвите. Овие малициозни програми тајно работат на заразени уреди и собираат чувствителни информации како:
- Кориснички имиња и лозинки,
- Е-мејл адреси,
- Кредитни картички и други финансики податоци,
- Автоматски зачувани податоци од прелистувачи (лозинки, колачиња, сесии…)
- Крипто паричници
- Идентификувачки информации за системот (IP, MAC, IMEI, итн…)
Откако хакерите ќе соберат доволно податоци од жртвите, ги пакуваат во т.н. stealer logs кои најчесто се продаваат или споделуваат на Dark web, хакерски форуми или, како во случајот со ALIEN TXTBASE, преку Телеграм канали. Овие записи понатаму може да се се искористат за различни напади, како фишинг, кражба на идентитет или неовластен пристап до сметки. Употребливата вредност на овие податоци е оставена на имагинацијата на хакерите, кои по природа се прилично имагинативни личности…
Дали податоците во ALIEN TXTBASE се навистина толку страшни?
Во неодамнешната анализа на добро познатата италијанска лабораторија за анализа на сајбер безбедносни ризици D3Lab за ALIEN TXTBASE, се откриваат чудни несогласувања во автентичноста на објавените записи. Иако се тврди дека содржат над 23 милијарди украдени податоци, истражувањето покажува дека многу од е-мејл адресите се генерирани или преземени од претходни пробивања, а дел од податоците се со неправилна структура.

Анализата на D3Lab всушност констатира дека ALIEN TXTBASE е неорганизирана збирка од повеќе претходни листи на хакирани податоци, заедно со измислени и други неструктурирани податоци. Секако, ова не треба да го занемари фактот дека во оваа збирка има реални хакирани профили – меѓутоа, од D3Lab исто така напоменуваат дека ако некоја е-мајл адреса се најде на листата (појавена при проверка во HIBP), не значи дека и лозинките поврзани со тој мејл се достапни.
Зошто во базата има голем број македонски сајтови, меѓу кои и IT.mk?
За оваа протечена хакерска збирка објави и Божидар Спировски, експерт за сајбер безбедност кој во последно време прилично активно на своите социјални профили објавува за сајбер предизвиците со кои се соочуваат македонските интернет корисници, пропратено со добри совети за како да постапат во дадените ситуации.

Неговата објава беше пропратена и со листа на македонски сајтови кои се споменуваат во ALIENT TXTBASE повеќе од еднаш, а на истата ќе го забележите и IT.mk:

Нашата редакција доби информации и за поопшрина листа на македонски домени кои се наоѓаат во ALIEN TXTBASE:

Откако забележавме дека и IT.mk, forum.it.mk и IT.com.mk се наоѓаат на листата отпочнавме проверка на хакираните податоци. Нашите интерни проверки укажаа на тоа дека во базата на ALIEN TXTBASE има хакирани податоци само на одреден број корисници регистрирани на IT.mk, а не и на сите 40.000+ регистрирани профили. Ова го потврдува фактот дека протечените податоци не се од базата на IT.mk, туку дека станува збор за одреден број на корисници кои на некој начин биле експонирани на малициозен софтвер кој ги собрал нивните податоци, меѓу кои и нивните кориснички имиња на IT.mk, вклучително и forum.it.mk.
Појавувањето на it.com.mk како домен, кој не го користиме за хостирање повеќе од 5 години, исто така го потврдува фактот дека во листата има и стари протечени податоци.
Барање за промена на лозинка и воведување на 2FA
Ситуацијава ја искористивме за воведување на дво-факторска автентикација на IT.mk – задолжителна за сите профили на корисници освен за B2C членовите – за кои во одреден период оваа функционалност ќе биде опционална, односно самите корисници ќе одлучат дали ќе си воведат 2FA на својот профил или не. Во блиска иднина, планираме да ја поставиме 2FA автентикација како задолжителна и за профилот на членови, па затоа ги советуваме сите веќе регистрирани членови во Мојата сметка > 2FA да ја активираат дво-степената автентикација.

Дополнително на воведување на оваа безбедносна мерка, ќе испратиме и барање за задолжителна промена на лозинка на сите постоечки членови. На оваа тема, сите регистрирани корисници ќе добијат дополнителни инструкции на мејл во текот на следниве денови.