Junte-se a Dan Woods (VP do Shape Security Intelligence Center na F5) e Sander Vinberg (F5 Labs Threat Evangelist), enquanto eles se aprofundam no novo Credential Stuffing Report da F5 Labs com John Wagnon e Jason Rahm da DevCentral.
Para saber mais, confira o Relatório completo do Credential Stuffing de 2021 e assista a uma versão estendida da discussão do DevCentral Connects aqui . Você também encontrará abaixo um resumo das principais conclusões do relatório.
O número de incidentes anuais de vazamento de credenciais quase dobrou de 2016 a 2020, de acordo com o último Relatório de Enchimento de Credenciais do F5 Labs .
A iniciativa de pesquisa mais abrangente desse tipo relatou uma queda de 46% no volume de credenciais vazadas durante o mesmo período. O tamanho médio dos derrames também diminuiu, caindo de 63 milhões de registos em 2016 para 17 milhões no ano passado. Enquanto isso, o tamanho médio do derramamento em 2020 (2 milhões de registros) representou um aumento de 234% em relação a 2019 e foi o maior desde 2016 (2,75 milhões).
O preenchimento de credenciais, que envolve a exploração de grandes volumes de pares de nomes de usuário e/ou e-mail e senha comprometidos, é um problema global crescente. Como um caso específico, uma Notificação da Indústria Privada emitida pelo FBI no ano passado alertou que a ameaça foi responsável pelo maior volume de incidentes de segurança contra o setor financeiro dos EUA entre 2017 e 2020 (41%).
“Os invasores vêm coletando bilhões de credenciais há anos”, disse Sara Boddy, diretora sênior da F5 Communitys (F5 Labs e DevCentral). “Derramamentos de credenciais são como derramamentos de óleo: uma vez vazados, são muito difíceis de limpar porque as credenciais não são alteradas por consumidores desavisados, e as soluções de preenchimento de credenciais ainda não foram amplamente adotadas pelas empresas. Não é de surpreender que, durante esse período de pesquisa, tenhamos visto uma mudança no tipo de ataque número um, de ataques HTTP para credential stuffing. Esse tipo de ataque tem um impacto de longo prazo na segurança dos aplicativos e não vai mudar tão cedo. Se você está preocupado em ser hackeado, é bem provável que isso ocorra por meio de um ataque de credential stuffing.”
Com base nas descobertas, Sander Vinberg, evangelista de pesquisa de ameaças da F5 Labs e coautor do relatório, pediu que as organizações permaneçam vigilantes.
“Embora seja interessante que o volume geral e o tamanho das credenciais vazadas tenham caído em 2020, definitivamente não devemos comemorar ainda”, alertou. “Ataques de acesso, incluindo preenchimento de credenciais e phishing, são agora a principal causa raiz de violações. É altamente improvável que as equipes de segurança estejam vencendo a guerra contra a exfiltração e fraude de dados, então parece que estamos vendo um mercado anteriormente caótico se estabilizar à medida que atinge maior maturidade.”
Apesar do crescente consenso sobre as melhores práticas do setor, uma das principais conclusões do relatório é que o armazenamento inadequado de senhas continua sendo um problema perene.
Embora a maioria das organizações não divulgue algoritmos de hash de senhas, a F5 conseguiu estudar 90 incidentes específicos para dar uma ideia dos culpados mais prováveis pelo vazamento de credenciais.
Nos últimos três anos, 42,6% dos vazamentos de credenciais não tiveram proteção e as senhas foram armazenadas em texto simples. Isso foi seguido por 20% das credenciais relacionadas ao algoritmo de hash de senha SHA-1 que eram "sem sal" (ou seja, sem um valor exclusivo que pudesse ser adicionado ao final da senha para criar um valor de hash diferente). O algoritmo bcrypt ‘salgado’ ficou em terceiro com 16,7%. Surpreendentemente, o algoritmo de hash amplamente desacreditado, MD5, foi responsável por uma pequena proporção de credenciais vazadas, mesmo quando os hashes foram salgados (0,4%). O MD5 tem sido considerado uma prática fraca e ruim há décadas, com ou sem sal.
Outra observação notável no relatório é que os invasores estão usando cada vez mais técnicas de ‘fuzzing’ para otimizar o sucesso da exploração de credenciais. Fuzzing é o processo de encontrar vulnerabilidades de segurança no código de análise de entrada testando repetidamente o analisador com entradas modificadas. A F5 descobriu que a maioria dos ataques de fuzzing ocorreram antes da divulgação pública das credenciais comprometidas, o que sugere que a prática é mais comum entre invasores sofisticados.
No Relatório de Enchimento de Credenciais de 2018 , a F5 relatou que demorava em média 15 meses para que um vazamento de credenciais se tornasse de conhecimento público. Isso melhorou nos últimos três anos. O tempo médio para detectar incidentes, quando tanto a data do incidente quanto a data da descoberta são conhecidas, é agora de cerca de onze meses. No entanto, esse número é distorcido por alguns incidentes em que o tempo de detecção foi de três anos ou mais. O tempo médio para detectar incidentes é de 120 dias. É importante observar que vazamentos geralmente são detectados na Dark Web antes que as organizações divulguem uma violação.
O anúncio de um vazamento geralmente coincide com o aparecimento de credenciais em fóruns da Dark Web. Para o Relatório de Enchimento de Credenciais de 2020, a F5 analisou especificamente o período crucial entre o roubo de credenciais e sua publicação na Dark Web.
Os pesquisadores conduziram uma análise histórica usando uma amostra de quase 9 bilhões de credenciais de milhares de violações de dados separadas, chamadas de "Coleção X". As credenciais foram publicadas em fóruns da Dark Web no início de janeiro de 2019.
A F5 comparou as credenciais da Coleção X aos nomes de usuário usados em ataques de preenchimento de credenciais contra um grupo de clientes seis meses antes e depois da data do anúncio (a primeira vez que um vazamento de credenciais se torna de conhecimento público). Quatro clientes da Fortune 500 foram estudados — dois bancos, um varejista e uma empresa de alimentos e bebidas — representando 72 bilhões de transações de login ao longo de 21 meses. Usando a tecnologia Shape Security, os pesquisadores conseguiram "rastrear" credenciais roubadas por meio de seu roubo, venda e uso.
Ao longo de 12 meses, 2,9 bilhões de credenciais diferentes foram usadas em transações legítimas e ataques aos quatro sites. Quase um terço (900 milhões) das credenciais foram comprometidas. As credenciais roubadas apareceram com mais frequência em transações humanas legítimas nos bancos (35% e 25% dos casos, respectivamente). 10% dos ataques tiveram como alvo o varejo, com cerca de 5% focando no setor de alimentos e bebidas.
Com base no estudo, o relatório Credential Stuffing identificou cinco fases distintas de abuso de credenciais:
“O credential stuffing será uma ameaça enquanto exigirmos que os usuários façam login em contas online”, acrescentou Boddy. “Os invasores continuarão a modificar seus ataques para técnicas de proteção contra fraudes, o que está criando uma forte necessidade e oportunidade para controles adaptáveis e alimentados por IA relacionados a fraudes e preenchimento de credenciais. É impossível detectar instantaneamente 100% dos ataques. O que é possível é tornar os ataques tão custosos que os fraudadores desistam. Se há uma coisa que é verdadeira no mundo dos cibercriminosos e empresários, é que tempo é dinheiro.”
Para perspectivas adicionais sobre inteligência de ameaças e segurança cibernética, visite https://www.f5.com/labs .