O rozruch v bezpečnostní komunitě se postarala hackerská skupina BlueHornet známá pod názvem „AgainstTheWest“, která na fóru BreachForum oznámila, že se zmocnila databází patřících sociální síti pro sdílení videí TikTok a chatovací aplikaci WeChat. Jako první o útoku informoval server BleepingComputer.
Později se ale ukázalo, že jde o podvrh. Ve zveřejněném vzorku byly prakticky prázdné nebo bezcenné tabulky. V reakci na to BreachForum tohoto uživatele zablokovalo a údajné vzorky ukradených dat z webu smazalo. Podobně vůči skupině postupoval i Twitter.
Podezření bylo silné
Uniklá databáze o velikosti 790 GB měla obsahovat 2 miliardy záznamů s uživatelskými daty, statistikami, cookies, zdrojovými kódy i autentizačními tokeny obou platforem. Podle prvních indicií měla data uniknout z cloudu Alibaba.
BreachForum nebylo jediné místo, kde se skupina svým počinem pochlubila. Na Twitteru zveřejnila screenshot se zachycenou databází a popiskem: „Kdo by si pomyslel, že se TikTok rozhodne uložit veškerý svůj interní zdrojový kód na jednu instanci Alibaba Cloud pod lehce prolomitelným heslem?“ (Tweet už není dostupný, celý účet uživatele BlueHornet Twitter zablokoval.)
Screenshot přiložený k tweetu BlueHornet
Ve vlákně na fóru Hacker News se objevily i názory, že data nepocházejí od TikToku, ale spíše unikly od třetí strany, která s TikTokem spolupracuje pro marketingové účely nebo e-commerce. Nebylo však jasné, zda tyto subjekty vůbec mají k tomuto typu dat přístup. Tuto verzi následně podpořilo i aktualizované prohlášení TikToku: jde o veřejně přístupná data shromážděná často automatizovaným způsobem (pomocí botů) a sestavená do databáze pro marketingové účely.
„Lovec databází“ Bob Diachenko z firmy Security Discovery na Twitteru potvrdil, že uniklá uživatelská data jsou pravá, ale nemohl poskytnout žádné konkrétní závěry o jejich původu.
OK, #TikTokBreach is real. Our team analyzed publicly exposed repos to confirm partial users data leak. pic.twitter.com/8ygcRKBMc3
— Bob Diachenko 🇺🇦 (@MayhemDayOne) September 5, 2022
Později dospěl k závěru, že zveřejněná data pravděpodobně pocházejí z různých aplikací čínské firmy Hangzhou Julun Network Technology v čínské provincii Zhejiang.
Podobně Troy Hunt, tvůrce známé služby HaveIBeenPwned pro zjišťování úniků dat, napřed potvrdil, že některé údaje jsou platné. Nenašel však nic, co by nebylo již dříve veřejně dostupné, aby to dokazovalo narušení bezpečnosti interních systémů.
TikTok útok popírá
Společnost TikTok záhy po pátečním zveřejnění screenshotů odmítla, že by se stala terčem útoku hackerů. Zdrojový kód sdílený na hackerských fórech prý není součástí její platformy. „Jedná se o nepravdivé tvrzení – náš bezpečnostní tým toto nařčení prošetřil a zjistil, že kód neodpovídá zdrojovému kódu backendu TikToku, který nikdy nebyl sloučen s daty WeChatu,“ uvedl mluvčí TikToku s tím, že ani uniklé údaje uživatelů nemohou pocházet přímo z jejich platformy. Síť má podle něj odpovídající bezpečnostní opatření, která brání automatizovanému shromažďování informací o uživatelích.
WeChat i TikTok jsou sice čínské firmy, ale nevlastní je stejná mateřská společnost – první patří společnosti Tencent a druhá firmě ByteDance. Už sama skutečnost, že uniklá data měla být v jedné společné databázi, proto nasvědčovala tomu, že nešlo o přímé narušení bezpečnosti na obou platformách.
Včera pak mluvčí TikToku ubezpečil, že uživatelé nemusejí proaktivně podnikat žádné kroky a jejich data jsou plně v bezpečí. Druhá zmíněná platforma WeChat však k útoku mlčí.
Není bez zajímavosti, že oznámení masivního úniku dat následovalo jen několik dní poté, co bezpečnostní analytici Microsoftu upozornili na výskyt závažných zranitelností v aplikaci TikToku pro operační systém Android.
Dimitrios Valsamaras z vývojového týmu Microsoft 365 Defender uvedl, že zjištěné nedostatky mohly útočníkům zpřístupnit uživatelské profily TikToku a umožnit jejich jménem například zveřejňovat soukromá videa nebo odesílat zprávy. Ohroženy měly být miliony účtů dané verze aplikace pro Android. TikTok problém opravil necelý měsíc poté, co byla chyba odhalena.
Kdo jsou AgainstTheWest?
Po odhalené blamáži se vzorkem bezcenných dat se pozornost stočila na hackerskou skupinu AgainstTheWest, která celý případ odstartovala. Podle názvu by se mohlo zdát, že se hackeři zaměřovali na západní země. Ve skutečnosti však jejich cílem mají být země a společnosti nepřátelské západním státům. Skupinu tvoří nejméně šest hackerů ze zemí západní Evropy.
„Nenechte se zmást názvem, AgainstTheWest se zaměřuje na země, které vnímá jako hrozbu pro západní společnost. V současné době je jeho cílem Čína a Rusko a do budoucna má v plánu posvítit si na Severní Koreu, Bělorusko a Írán,“ vyplývá z rozhovoru aktivistů pro server CyberKnow.
Od druhé poloviny roku 2021 AgainstTheWest vedou útoky proti vládním a firemním sítím v Číně a Rusku. Ačkoliv svého času byli jedněmi z nejaktivnější přispěvatelů na dnes už nefunkčním hackerském fóru RaidForums, jejich kredibilita byla již tehdy zpochybňována. Na konkurenčním fóru RAMP je dokonce označovali za podvodníky, kteří se chtějí jen přiživit na prodeji zbytných, nepoužitelných údajů.
A stejný scénář, jak se zdá, se opakuje i v aktuálním případě TikToku a WeChatu. Bližší zkoumání „uniklých dat“ jejich pravost postupně zpochybňovalo.
Let's look at it the other way - is there anything in there that's obviously fake? Yes, in "record_paypal_order_trade_202209032247.csv": pic.twitter.com/KfEsmkTRkD
— Troy Hunt (@troyhunt) September 5, 2022
Česká stopa v HaveIBeenPwned
S únikem dat z nezabezpečených databází mají své zkušenosti i české servery a firmy. Loni se na darknetu měla objevit k prodeji data jihlavské firmy Gordic provozující široce používaný systém spisové služby pro veřejnou správu Ginis. Útočníci za ni tehdy chtěli 100 tisíc dolarů, tedy v té době zhruba 2,2 milionu korun.
Hackeři na #DarkNet oznámili, že zaútočili na předního českého tvůrce a dodavatele informačních systémů, technologickou firmu #GORDIC Ukořistili prý #data zaměstnanců, mailový #archiv, #smlouvy atd. Únik byl identifikován pomocí nástroje #DarkTracer #DarkMap pic.twitter.com/pLyR4NYh5T
— David Havlik (@David_Havlik) July 26, 2021
Dřívější, ale mnohem masivnější únik dat se dostal až do zmiňované databáze HaveIBeenPwned. V roce 2017 na veřejnost uniklo tři čtvrtě milionů e-mailových adres a stejné množství hesel v čitelné podobě z nákupní galerie Mall.cz. Ne, že by Mall hesla ukládal do databáze v původní podobě, ale do podzimu 2012 používal při šifrování hesel snadno prolomitelný algoritmus MD5. Teprve o čtyři roky později začal používat bezpečnější bcrypt.
Provozovatel serveru za to dostal od Úřadu pro ochranu osobních údajů pokutu 1,5 milionu korun. Proti sankci se bránil napřed správní žalobou, s tou neuspěl, pak i kasační stížností. Nejvyšší správní soud rozsudkem pod sp. zn. 1 As 238/2021-33 na sklonku loňského roku případ vrátil na začátek. Úřadu přikázal blíže zkoumat, jestli firma přijala dostatečná opatření k ochraně dat. Podle soudců samotný únik dat ještě neznamená, že firma podcenila jejich zabezpečení.
ČLÁNKY DO MAILU