Comment nous avons trouvé plus de 1,5 Millions de mots de passes sur un site web avec des requêtes Google Dorks (Incluant des services comme Spotify, Gmail, Netflix, Facebook et d’autres grands noms)

Les fichiers mentionnés dans cet article n’ont à aucun moment été stockés sur l’une de nos machines. Le travail n’a porté que sur les données accessibles au public. Nous avons communiqué les informations nécessaires aux autorités et services compétents. Tout commence par un lien Alors que nous enquêtions sur une alerte signalée à notre SOC,…

Les fichiers mentionnés dans cet article n’ont à aucun moment été stockés sur l’une de nos machines. Le travail n’a porté que sur les données accessibles au public.
Nous avons communiqué les informations nécessaires aux autorités et services compétents.

Tout commence par un lien

Alors que nous enquêtions sur une alerte signalée à notre SOC, nous avons atterri sur un célèbre forum de piratage sur le darknet. C’est là, avec beaucoup de surprise, que nous avons trouvé un lien (non lié à l’enquête) pointant vers un fichier texte stocké sur un site web (pas sur le darknet).
Ce fichier contenait une centaine d’informations d’identification d’utilisateurs pour le service Spotify Premium. Ce qui a éveillé notre curiosité, c’est la fraîcheur de l’information, moins de deux mois. Il est courant de trouver des fichiers de ce type, cela correspond généralement à des bases de données qui ont été piratées puis distribuées. Toutefois, lorsque ces fichiers sont accessibles au public, leurs données sont généralement périmées.
Nous avons donc essayé de répondre à deux questions : d’où venaient ces données ? Comment ont-elles été obtenues ?
Commençons notre enquête !

Enquêtes sur les sources

Le deuxième point qui a retenu notre attention est le format de l’url. Comme un CMS, le chemin de fichier respectait ce format :
hxxp://{subdomain}.{domain}.{tld}/{year}/{month}/{day}/{3-digits}/{19-digits}.txt

Pour trouver s’il y avait plus de fichiers comme celui-ci sur le site, nous avons utilisé quelques requêtes Google Dorks (plus d’informations sur cette technique : https://whatis.techtarget.com/definition/Google-dork-query).

Ci-dessous un extrait des requêtes que nous avons utilisées :
site:{domain}.{tld} password
site:{domain}.{tld} email
site:{domain}.{tld} login
site:{domain}.{tld}/{year} password

Jackpot ! Plus de cinq cents fichiers texte contenant des mots de passe ont été trouvés. De plus, les résultats contenaient beaucoup d’autres fichiers tels que des PDF, Docs, Scripts, etc.
Après de nombreuses heures de plongée en profondeur dans ces fichiers, nous avons été en mesure d’identifier d’où provenaient les données. Nous détaillons ci-dessous les deux sources les plus importantes (près de 50% des données récupérées).

#1 Nocturnal Stealer

Nocturnal Stealer est un malware vu pour la première fois en mars 2018 pour le prix de 25$. C’est un voleur d’informations comme son nom l’indique. Sa force réside dans sa capacité à voler les données d’une vaste gamme de produits,
y compris 28 différents types de portefeuilles de cryptomonnaie, des mots de passe FTP enregistrés dans FileZilla, et des informations de navigateur Chrome et Firefox (telles que les identifiants de connexion, cookies, données Web, données de remplissage automatique et cartes de crédit enregistrées). Il zip également les données du système, y compris l’adresse IP et la langue, l’identification de la machine, la date et l’heure, le lieu d’installation, le système d’exploitation, l’architecture, le nom d’utilisateur, le type de processeur, les informations sur la carte vidéo et une liste de tous les processus en cours, pour les envoyer au serveur C2.

https://threatpost.com/nocturnal-stealer-lets-low-skilled-cybercrooks-harvest-sensitive-info/132422/

Le programme collecte donc des informations (mots de passe, login, portefeuille, etc.) et les enregistre dans des fichiers (informations.txt, mots de passe.txt, etc.) qui seront ensuite envoyés à un serveur C&C (Command & Control).
Je ne vais pas refaire une analyse approfondie, vous pouvez en trouver une bonne ici : https://www.proofpoint.com/us/threat-insight/post/thief-night-new-nocturnal-stealer-grabs-data-cheap
Ce qui nous intéresse, c’est la corrélation avec les données trouvées. Ce qui nous permet de dire que plus de 120 personnes distinctes ont été infectées par ce malware (sur la base des données récupérées).

#2 Spotify Brute & NordVpn Cracker

Une autre grande source sont les résultats d’outils créés par un hacker appelé  » m1st « . Il fournit des outils de craquage comme Spotify Brute et NordVpn Cracker, deux logiciels de brute-force.

Ces outils apparaissent pour la première fois vers décembre 2017, les données de ces outils sont donc moins fiables. Bien qu’ils puissent toujours être à jour si l’attaque a été menée récemment.

Le problème de stockage des mots de passe

Au-delà du fait d’être infecté par un voleur d’information, le vrai problème est la façon dont les mots de passe sont stockés sur les hôtes. Ceci peut être illustré avec FileZilla :

FileZilla est un logiciel client FTP qui stocke son historique sous forme de texte brut dans le fichier recentservers.xml, et stocke ses données de connexion sous forme de texte brut dans le fichier sitemanemanager.xml. pwgrab32 peut facilement obtenir ses enregistrements et informations d’identification en analysant ces deux fichiers XML.

https://www.fortinet.com/blog/threat-research/deep-analysis-of-trickbot-new-module-pwgrab.html

De plus, aujourd’hui, la majorité des navigateurs Web offrent une fonction de stockage de mot de passe et de remplissage automatique. Même si c’est utile, stocker des données sensibles dans un gestionnaire de mots de passe de navigateur est généralement une mauvaise idée.
Par exemple, le gestionnaire de mots de passe intégré à Firefox stocke les identifiants chiffrés dans un fichier appelé  » logins.json « . Les noms d’utilisateur et mots de passe stockés sont chiffrés avec une clé qui est stockée dans le fichier  » key4.db « . Les deux fichiers peuvent être localisés dans le système de fichiers. Il est alors très facile de déchiffrer les données, en particulier avec les modules Metasploit.

Le problème de Google Dorks

Ce n’est pas la première fois que des données sensibles sont récupérées grâce à Google Dorks. L’été dernier, un chercheur en sécurité, Kushagra Pathak, a démontré comment il a trouvé des mots de passe et des informations sensibles sur des Trello publiques avec une requête Google.

https://medium.freecodecamp.org/discovering-the-hidden-mine-of-credentials-and-sensitive-information-8e5ccfef2724

Dans le pentesting, ces requêtes sont souvent l’une des premières étapes pour trouver des informations sur les cibles.

Solutions

Des solutions simples peuvent vous empêcher de trouver vos informations dans ces types de fichiers.
1. Utilisez un mot de passe fort (longueur de 10 min. avec caractères alphanumériques et spéciaux, majuscules et minuscules).
2. Utilisez du 2FA (facteur d’authentification double) autant que possible, malheureusement tous les services ne le fournissent pas.
3. N’utilisez pas le gestionnaire de mots de passe intégré à votre navigateur. Préférez des solutions comme TeamPass, KeyPass ou LastPass.
4. Utilisez un antivirus et/ou un système réseau qui détecte les fuites de données. Comme le FortiClient et plus encore avec le Fortinet Security Fabric.
5. Vérifiez régulièrement les informations publiques concernant votre organisation à l’aide des requêtes Google.

React