Wyciek danych 24 tys. Meksykanów. Hasła jako tekst i wiele więcej

14 września na blogu grupy RansomEXX pojawiła się informacja o wykradnięciu danych 24 883 klientów Retemex, meksykańskiego operatora sieci komórkowej. Wspomniana organizacja dotychczas nie skomentowała publicznie wycieku. Niestety opublikowane dane wyglądają na prawdziwe.

Wyciek danych

W pliku retemex.sql, zajmującym nieco ponad 6 megabajtów, znajdują się:

• Imiona i nazwiska;
• Numer telefonu;
• RFC (odpowiednik NIP, hiszp. Registro Federal de Contibuyentes);
• Adres e-mail;
• Funkcja skrótu hasła (SHA-1);
• Hasło jako tekst.

O autentyczności wycieku może świadczyć m.in. to, że niektóre adresy e-mail nie znajdowały się w bazie haveibeenpwned.com.

W pliku znajduje się 20 038 haseł zapisanych jako tekst. Warto również dodać, że dokument zakończony jest linijką: „— Dump completed on 2024-08-29  8:51:15”. Zastanawiające jest to, że w bazie danych przechowywane były zarówno hashe i hasła – taka sytuacja nigdy nie powinna mieć miejsca.

Hasła jako tekst

Przechowywanie haseł jako tekst (tzw. plaintext) stanowi duże zagrożenie w przypadku wycieku. Jeżeli dane logowania do kont są identyczne jak w pliku oraz dana osoba nie stosuje dwuetapowego uwierzytelniania, przejęcie kontroli nad nimi jest bardzo proste – wystarczy wpisać login i hasło.

Hasła nigdy nie powinny być przechowywane w bazach jako tekst. Stosowany algorytm powinien być możliwie skomplikowany. Prawie trzydziestoletni SHA-1 był wykorzystywany również przez polską stronę dla modelek. Hashe haseł poddaliśmy analizie na łamach naszego portalu.

Analiza skomplikowania haseł

Najczęściej występowały hasła 8, 9 i 10-znakowe, które stanowiły prawie 2/3 wszystkich haseł (64,53 proc.). Niestety hasła dłuższe niż 12 znaków stanowiły jedynie 15,33 proc. całości.

Incydent zgłosiliśmy do CERT-MX, meksykańskiego odpowiednika CERT Polska.