Threat Actor Behind Collection #1 Data Breach Identified

Threat Actor Behind Collection #1 Data Breach Identified

Executive Summary

Le 17 janvier 2019, le professionnel de la sécurité Troy Hunt a divulgué « Collection #1 », une base de données contenant 1 160 253 228 combinaisons uniques d'adresses e-mail et de mots de passe correspondants. Au total, 772 904 991 adresses e-mail uniques et 21 222 975 mots de passe uniques ont été découverts. Ensuite, le 31 janvier, PCWorld a rapporté que des chercheurs de l'Institut Hasso Plattner ont découvert 611 millions d'identifiants supplémentaires qu'ils ont attribués à la violation de données Collection #1.

Recorded Future analyzed the complete dump on January 19, 2019 and confirmed that many of the account credentials contained in Collection #1 are from a wide variety of previous data breaches, some of which are two to three years old, and may not contain newly compromised accounts.

Multiple threat actors claimed to be the source of the data and were distributing these databases throughout the dark web, including the threat actor “Clorox.” However, Recorded Future assesses with moderate confidence that the original creator and seller of Collection #1 was the actor “C0rpz.” Another actor from a well-known Russian hacking forum was also observed sharing a large database of 100 billion user accounts, which possibly has some of the same datasets found in Collection #1.

Threat Analysis

Insikt Group discovered a forum post created on January 17, 2019 by Clorox, who posted seven URLs to separate databases hosted on the file sharing service MEGA. In total, the seven databases listed below contained 993.53 GB of data containing three different variations of user credentials: email addresses and passwords, usernames and passwords, and cell phone numbers and passwords.

Dans son message sur le forum, Clorox a inclus un lien vers l'article de Troy Hunt intitulé «The 773 Million Record 'Collection #1' Data Breach » (La violation de données « Collection #1 » portant sur 773 millions d'enregistrements), affirmant que la base de données dont dispose Troy Hunt est incomplète et ne représente qu'une fraction du dump original connu sur le dark web sous le nom de Collection #1. De plus, Clorox a déclaré que les données initialement divulguées étaient vendues sur un autre forum par une autre partie, qui a ensuite supprimé les fichiers originaux hébergés sur différentes URL sur MEGA. Selon Clorox, Troy Hunt a réussi à télécharger l'une de ces bases de données que l'individu avait oublié de supprimer, bien que celui-ci l'ait supprimée peu après.

Une analyse plus approfondie a révélé l'existence d'un autre individu utilisant le pseudonyme C0rpz, qui affirmait être le créateur et le vendeur original de la Collection n° 1 dès le 7 janvier 2019. C0rpz a également déclaré qu'un autre membre du forum, « Sanix », leur avait acheté la collection n° 1, puis avait tenté de la revendre à d'autres membres du forum. Sanix est la personne identifiée par Brian Krebs dans son article intitulé «773M Password ‘Megabreach’ is Years Old » (Une « méga-violation » de 773 millions de mots de passe remonte à plusieurs années). Notre analyse a confirmé qu'il s'agit bien de la personne qui a tenté de vendre la base de données créée à l'origine par C0rpz. Sanix a depuis été banni du forum, et C0rpz a publié des liens vers MEGA permettant de partager gratuitement la collection n° 1 à la communauté.

Recorded Future discovered yet another possible source of Collection #1. On January 10, 2019, an actor on a well-known Russian-speaking hacker forum posted both a magnet link and a direct download link to a database containing 100 billion user accounts hosted on a personal website. The following week, the actor made clear that the data dump referenced in Troy Hunt’s article was included in their dump as well.

Outlook

Recorded Future assesses with high confidence that the database Collection #1 and its variations will continue to be shared among dark web communities and incorporated in credential-stuffing attacks from various threat actors. However, many of the account credentials contained in Collection #1 are from a wide variety of previous data breaches, some of which are two to three years old. It is highly likely that many of the affected individuals already have been required to change their passwords which would otherwise have been compromised by this leak.

Individuals should be prepared for phishing attacks that could target exposed email addresses or cell phone numbers. Current customers can contact their Recorded Future Intelligence Services consultants if they are interested in learning more.