Collection #2-5 – kolejny „rekordowy wyciek”, który nie jest wyciekiem

Maciej Olanicki, 31.01.2019 r.

W połowie stycznia w mediach zagrzmiała informacja o „największym w historii wycieku danych” – Collection #1. Na łamach naszego bloga wyjaśnialiśmy, że żaden wyciek nie miał miejsca, a nawet gdyby miał miejsce, to nie byłby to wyciek w żaden sposób rekordowy. Do tej historii właśnie dopisano kolejny rozdział, a w zasadzie kolejne cztery rozdziały, które łącznie mogą być nawet trzykrotnie większe niż Collection #1.

Collection – wyciek, którego nie było

Gwoli przypomnienia – późnym wieczorem 16 stycznia Troy Hunt, jeden z MVP Microsoftu i regionalny dyrektor tej korporacji, poinformował, że doszło do rekordowego wycieku danych. Według jego ustaleń, w usłudze MEGA została udostępniona paczka o wielkości 87 gigabajtów, na którą składało się ponad 12 tys. plików. Zawierały one 773 mln unikatowych adresów e-mail oraz 21,2 mln haseł, co daje łącznie 1,16 mld unikatowych kombinacji.

Szkopuł w tym, że dane to nie stanowiły pod względem technicznym wycieku. Collection #1 było po prostu kompilacją wcześniej wyciekłych danych z mnóstwa serwisów. Podobnie jak album muzyczny „The Best Of...” nie jest nowym albumem studyjnym, tak Collection #1 nie było wyciekiem, lecz kompilacją wcześniejszych wycieków. A nawet jeśli założymy, że było inaczej, to unikalnych kombinacji nie sposób zestawiać z ponad 1,1 mld rekordów zawierających konkretne dane konkretnych osób, jakie wyciekły w styczniu 2017 roku z Aadhar – indyjskiego odpowiednika bazy PESEL.

Podgląd bazy Collection nr 1, gdy była jeszcze dostępna w usłudze MEGA.

Collection #2-5 – zaczyna robić się poważnie?

Już w połowie stycznia sugerowaliśmy, że numeracja w nazwie może oznaczać, że „kolekcji” jest więcej. Podejrzenia te właśnie się potwierdziły. W Sieci można trafić na kolejne cztery części o łącznej wielkości 845 gigabajtów, które zawierają 2,2 mld rekordów, choć nie brakuje doniesień, że mówimy nawet o trzykrotnie większej paczce, niż to miało w przypadku Collection #1.

Nadal nie ma jednak szczególnych powodów do obaw o bezpieczeństwo kont internetowych. A już na pewno nie do większych, niż miało to miejsce tak przed udostępnieniem Collection #1, jak i Collection od 2 do 5. Znów nie mamy bowiem do czynienia z nowym wyciekiem danych, lecz z kompilacją danych, które krążyły po Sieci już wcześniej. Znaleźć można tam rekordy między innymi z bazy Yahoo, LinkedIn i Dropboksa.

Na razie kolejne części Collection nie zostały dodane jako oddzielne repozytorium w usłudze Have I Been Pwnd?, zapewne zmieni się to lada moment. Nie będzie to miało jednak większego znaczenia, podobnie jak Collection #1-5 nie mają większego znaczenia dla bezpieczeństwa danych.