Um hacker publicou uma lista enorme de credenciais Telnet de mais de 515.000 servidores, roteadores domésticos e dispositivos “inteligentes” da IoT (Internet of Things).
A lista, publicada em um fórum popular de hackers, inclui o endereço IP de cada dispositivo, além de um nome de usuário e senha para o serviço Telnet, um protocolo de acesso remoto que pode ser usado para controlar dispositivos pela internet.
O hacker vaza senhas de mais de 500.000 dispositivos
De acordo com especialistas consultados pelo site ZDNet, e uma declaração do próprio vazador, a lista foi compilada verificando a internet inteira em busca de dispositivos que estavam expondo sua porta Telnet. O hacker tentou usar (1) nomes de usuário e senhas padrão de fábrica, ou (2) combinações personalizadas, mas fáceis de adivinhar.
Esses tipos de listas (chamados “listas de bot”) são um componente comum de uma operação de botnet na IoT. Os hackers fazem uma varredura na internet para criar listas de bot e depois os usam para se conectar aos dispositivos e instalar malware.
Essas listas geralmente são mantidas em sigilo, embora algumas tenham vazado on-line no passado, como uma lista de 33.000 credenciais Telnet de roteadores domésticos que vazou em agosto de 2017. Até onde sabemos, isso marca o maior vazamento de senhas de Telnet conhecido até o momento.
Hacker operador de serviço DDoS vazou as senhas
A lista foi publicada on-line pelo mantenedor de um serviço DDoS de aluguel (DDoS booter).
Quando perguntado por que ele publicou uma lista tão grande de “bots”, o vazador disse que atualizou seu serviço DDoS para trabalhar com as botnets da IoT para um novo modelo que depende do aluguel de servidores de alto desempenho de provedores de serviços em nuvem.
Todas as listas que o hacker vazou são datadas de outubro a novembro de 2019. Alguns desses dispositivos agora podem ser executados em um endereço IP diferente ou usar credenciais de login diferentes.
Nós do Sempre Update não usamos nenhum dos combos de nome de usuário e senha para acessar nenhum dos dispositivos, pois isso seria ilegal. Portanto, não podemos dizer se essas credenciais são válidas.
O perigo permanece
Um especialista em segurança da IoT (que queria permanecer anônimo) disse ao site ZDNet que, mesmo que algumas entradas na lista não sejam mais válidas porque os dispositivos podem ter alterado seu endereço IP ou senhas, as listas permanecem incrivelmente úteis para um invasor qualificado.
Um invasor pode usar os endereços IP incluídos nas listas, determinar o provedor de serviços e verificar novamente a rede do ISP. Dessa maneira, ele poderá atualizar a lista com os endereços IP mais recentes.
Se um hacker achar uma oportunidade, ele invade e vaza senhas de 500.000 ou mais dispositivos sem pensar duas vezes. Portanto, nunca deixe de se proteger!
Fonte: ZDNET