28 مرداد 1403 ساعت 13:34
هکرهای گروه ASDoD اطلاعات شخصی ۳ میلیارد نفر در آمریکا کانادا و بریتانیا را دزدیدند. این میتواند بزرگترین نقض داده در کل تاریخ باشد!
براساس یکی از جدیدترین اخبار اینترنت، امنیت و شبکه، گروهی از مجرمان سایبری به نام ASDoD، پایگاه دادهای حاوی اطلاعات شخصی را به قیمت ۳.۵ میلیون دلار برای فروش آنلاین قرار دادهاند. با این حال، هیچ مدرکی مبنی بر خرید این اطلاعات توسط کسی وجود ندارد.
در صورت تأیید، این میتواند یکی از بزرگترین نقضهای داده در تاریخ باشد؛ اما آیا واقعا چنین است؟ تروی هانت، یکی از شناختهشدهترین کارشناسان امنیت سایبری و بنیانگذار سایت HaveIBeenPwned، با بررسی این موضوع، متوجه تناقضهای زیادی در این اطلاعات شده است.
آیا ASDoD واقعا اطلاعات ۳ میلیارد نفر را هک کرده است؟
اولین نکتهای که هانت به آن اشاره میکند، این است که در پست اولیه منتشر شده در دارک وب، ادعا شده بود که این پایگاه داده حاوی ۲.۹ میلیارد ردیف اطلاعات است و شامل کل جمعیت ایالات متحده، کانادا و بریتانیا میشود که جمعیت ترکیبی آنها به ۲.۹ میلیارد نفر نمیرسد.
همچنین، ASDoD ادعا کرده بود که پایگاه داده حاوی شمارههای امنیت اجتماعی (SSN) است. این درحالیست که هانت مدعی شده ساختار این شمارههای اجتماعی متعلق به کاربران آمریکایی است. کانادا از شمارههای بیمه اجتماعی (SIN) و بریتانیا از شمارههای بیمه ملی (NI) استفاده میکنند.
دومین نکته، ادعای ASDoD مبنی بر اینکه پایگاه داده ۲۲۰ گیگابایت فشرده است که پس از فشردهسازی به ۴ ترابایت میرسد؛ اما پس از بررسی توسط هانت و مخزن امنیت سایبری vx-underground، اندازه کل فایل تنها ۲۷۷.۱ گیگابایت پس از فشردهسازی بود. علاوه بر این، با بررسی صحت دادهها و شمارههای امنیت اجتماعی، هانت متوجه شد که شش ردیف اول متعلق به یک نفر بوده و تنها نام و نام خانوادگی و آدرسهای مختلف در یک شهر ذکر شده است.
با بررسی نمونهای بزرگتر از دادهها، هانت دریافت که از ۱۰۰ میلیون ردیف نمونه، تنها ۳۱ درصد حاوی شماره امنیت اجتماعی منحصر به فرد هستند. این بدان معناست که بخش قابل توجهی از دادهها شامل اطلاعات شخصی قانونی و شمارههای امنیت اجتماعی هزاران قربانی است، اما مقیاس آن ممکن است کمتر از ۲.۹ میلیارد نفر باشد و در عوض، ۲.۹ میلیارد ردیف داده تکراری باشد.
همچنین، هانت به دنبال اطلاعات شخصی خود در این پایگاه داده گشته است. ایمیل او در ۲۸ ردیف مختلف ظاهر شد، اما بدون نام، آدرس یا تاریخ تولد صحیح، نشان میدهد که بسیاری از دادهها ممکن است نادرست و نامطابق با قربانیان باشند.
source