Dane z podejrzanej inwestycji krypto znów w sieci. Co pokazują hasła Polaków?

Kryptowaluty są coraz popularniejsze w Polsce. Niedawno Prokuratura Krajowa poinformowała o przyjęciu poręczenia majątkowego w Bitcoinie. Niestety chęć błyskawicznego zysku sprawiła, że jednocześnie pojawiło się wiele oszukańczych ofert zarobku, tak jak najprawdopodobniej w przypadku Trident Crypto Fund. Jeden z analityków wykazał, że wspomniana platforma działała jak piramida finansowa – twierdziła m.in., że udało się jej uzyskać 1400% zysku w rok. Nie wskazano również osoby odpowiedzialnej za platformę.

Wyciek danych z Trident Crypto Fund

Pierwsze informacje o wycieku danych z wspomnianej platformy pojawiły się w marcu 2020 roku. Wówczas światło dzienne ujrzały dane ponad 266 tys. kont, co pokazuje przerażającą skalę działalności wspomnianej platformy - i to pomimo tego, że minimum kilkadziesiąt tysięcy kont było fałszywe. W artykule Adriana Zmudzińskiego na łamach Cointelegraph wspomniano, że z platformy korzystało ponad 10 tys. Rosjan. Stwierdzono wówczas, że ten wyciek to pierwszy taki incydent, który dotyczy rosyjskich inwestorów w kryptowaluty.

Ten sam zestaw danych pojawił się ponownie w sieci – tym razem na kanale na Telegramie, do którego ma dostęp kilka tysięcy osób. Postanowiliśmy go przeanalizować przede wszystkim pod kątem użytkowników z Polski.

Analiza pliku

Plik pierwotnie udostępniony pięć lat temu składa się z 266 641 linijek. Każda z nich zawiera:

• unikalne ID;
• adres e-mail;
• hash hasła MD-5;
• imię i nazwisko;
• numer telefonu;
• kraj;
• adres IP.

Należy przy tym dodać, że najprawdopodobniej ok. 30 tys. kont zostało założonych przez automaty, na co wskazują schematyczne adresy e-mail oraz adresy IP różniące się jedynie dwoma ostatnimi oktetami. Odfiltrowaliśmy je do dalszej analizy – pozostało 238 121 rekordów.

Kraje pochodzenia

Postanowiliśmy posortować kraje wg częstotliwości występowania w pliku. Na pierwszym miejscu znajduje się Afganistan – dalsza analiza wykazała, że wiele z tych rekordów dotyczy obywateli innych krajów lub ma fałszywe imiona i nazwiska. Wielce prawdopodobne, że to konta również założone przez automaty, które wybrały pierwszy kraj alfabetycznie na liście. Usunięcie nieprawdziwych kont wymaga ręcznego podejścia, wobec tego naszą uwagę przykuły rekordy z Polski, których było 1280.

Dane Polaków

Postanowiliśmy złamać hashe haseł Polaków. Większość kont została założona na prawdziwe imiona i nazwiska oraz adresy e-mail, choć zdarzały się również fałszywe tożsamości – według naszych szacunków mogło być ich nawet 25%.

Z pomocą dwóch ogólnodostępnych polskich słowników w przeciągu dwóch minut udało się nam złamać 78 z 1068 unikalnych hashy. Choć stanowi to jedynie 7,3% warto nadmienić, że słowniki można znaleźć za pomocą kilku wyszukiwań w Google.

Złamane hashe pokazują, że schemat tworzenia haseł to wciąż imię i rok (często urodzenia lub bieżący). Oto 30 najdłuższych złamanych funkcji skrótu:

• Przymorze2018;
• Kleopatra2018;
• Administrat0r;
• Szlachta1992;
• Margonin2018;
• [nazwisko]05;
• Poranek2018;
• Nikolka2012;
• [wulgaryzm]123;
• Konkwista88;
• Gosienka123;
• Agnieszka91;
• 12345Qwerty;
• 123456789Aa;
• Zafira2005;
• Weronika12;
• Trident123;
• Szymon1998;
• Sukces1971;
• Qwerty1992;
• Patryczek1;
• Patrycja05;
• Niunia1990;
• Neostrada1;
• Mateusz123;
• Marcin1234;
• Lukasz9145;
• Korasek123;
• Karolina21;
• Jackal1975.

Z dużą dozą prawdopodobieństwa można założyć, że wiele z kont zostało założonych nie później niż w 2018 roku.

Podsumowanie

Warto dbać o odpowiednio skonstruowane hasła. Szczególnie ważne jest stosowanie dwuetapowego uwierzytelniania, które chroni nasze konta w przypadku wycieku hasła. Należy pamiętać również o zastrzeżeniu numeru PESEL.

Szczególnie niepokojąca była sytuacja, gdy dowody osobiste Polaków widniały w sieci od miesięcy. Wiele wskazuje na to, że mogły służyć do kradzieży tożsamości.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].