Шта вам Дропбок Хацк може подучити о стању веб безбедности
У протеклој недељи, Дропбок је правио насловнице преко хака који је видео адресе е-поште и лозинке од 68 милиона рачуна за Дропбок компромитоване. За сваког Дропбок корисника ово је, наравно, забрињавајућа тачка, посебно ако се било шта похрањује у Дропбок-у, било да је то особно или за посао.
Вашим фотографијама, документима, подацима итд. Можете приступити без вашег знања користећи вашу адресу е-поште и лозинку изгубљене у том одређеном хаку. Добра вест је није било никаквих извештаја о било ком злонамерном изласку из Дропбок хацк-а, досад. Међутим, то не значи да нема разлога за бригу.
О Дропбок хацку
Прво, хајде да се макнемо с пута: Дропбок хацк се није догодио само прошле недеље. Више од 68 милиона е-маил адреса и лозинки је украдено у хак, да, али сам хак догодило се прије 4 године, још у 2012. години.
Уместо да замишљате холивудску хакерску сцену (од којих су многе страшно погрешиле), хацк је постао због људске грешке.
Хакери су користили корисничка имена и лозинке из другог кршења података како би се пријавили на Дропбок рачуне. Један од ових рачуна припадао је Дропбоку, који су користили исту лозинку и за пробијену локацију и за њихов Дропбок рачун.
Случајно, исти запосленик је имао пуну фасциклу документи који садрже адресе е-поште од 68,680,741 Дропбок налога добро као хасхед пассвордс. Игра, сет и утакмица.
1. Дропбок није био сам; ЛинкедИн је слично хакован
У мају 2016. године, ЛинкедИн је најавио нешто слично прошлотједном Дропбок хацку. Они су позвали кориснике ЛинкедИн-а да промене своје лозинке "као ствар најбоље праксе" након што су постали свјесни крађе скупа порука е-поште и лозинки које су се догодиле - претпоставили сте - 2012. године.
Ако сте кликнули на ту везу у претходном параграфу, нећете наћи никакав податак о томе колико је то велики губитак података осећај хитности је очигледан са честа ажурирања на ту страницу.
Оно што се десило је било то више од 117 милиона ЛинкедИн рачуни су били погођени, мада је могуће да је стварни број може бити чак 167 милиона.
2. Зашто се хакиране лозинке сада поново појављују?
Наводи се да су скупови података за Дропбок и ЛинкедИн сада се тргује у мрачној мрежи (или су, до пре недељу дана).
Комплет ЛинкедИн-а је првобитно био у продаји за 2.200 долара, док је Дропбок-а за нешто више од 1.200 долара - оба вредност ових скупова података се смањује што дуже трају, као што је већина корисника промијенила лозинке, скупови података су мало или нимало вриједни.
Али зашто сада? Четири године након хака? Најближе што сам добио одговор је Трои Хунт (он се помало помиње у овом посту, и прилично свугдје другдје) који пише пуно о сајбер сигурности. Цитираћу само оно што има да каже:
Неизбежно постоји катализатор, али то може бити много различитих ствари; Нападач је коначно одлучио да га монетизује, они су сами били циљани и губили податке или на крају трговали за нешто друго вредно.
3. Хакови и депоније података се дешавају чешће него што сви желе да признају
Док сам читао о овом Дропбок хацку, наишао сам на овај директориј базе података, Вигиланте.пв сајт који садржи информације о кршењу података. У тренутку писања овог текста, пуна база података садржи информације о 1470 прекорачењима која износе више 2 милијарде компромитованих рачуна.
Највећи део је Миспаце хацк 2013. године 350 милиона рачуна.
У истом директорију, 68 милиона улазница Дропбока је девети по величини у историји познатих депонија података, до сада; ЛинкедИн је пети по величини иако је број коригован на 167 милиона уместо тога, што би га учинило другим највећим депонијом података у директоријуму.
(Имајте на уму да су датуми депонирања података за Дропбок и ЛинкедИн наведени као 2012, уместо 2016.)
Међутим, не вреди ништа што је злогласни Асхлеи Мадисон хацк, као и РоцкИоу хаковање које мења игру не у именик. Шта се стварно дешава тамо је већи него што видите на сајту.
хавеибеенпвнед.цом је још један извор који можете користити за гледање озбиљност хакова и депонија података који муче онлине услуге и алате.
Сајт води Трои Хунт, стручњак за безбедност који редовно пише о кршењима података и безбедносним питањима, укључујући и овај скорашњи Дропбок хацк. Напомена: сајт такође има бесплатан алат за обавештавање који ће вас упозорити ако је нека од ваших е-порука угрожена.
Моћи ћете да пронађете листу заложених сајтова, чији су подаци консолидовани на сајт. Ево листе 10 најчешћих прекршаја (само погледајте све те бројке). Потпуни списак можете наћи овде.
И даље са мном? Постаје много горе.
4. Са сваком повредом података, хакери постају бољи у пуцању лозинки
Овај пост на Арс Тецхница Јереми Госнеи, професионални крекер за лозинке вриједи прочитати. То је кратко што се више података догоди, лакше ће доћи до хакера будућности лозинке.
РоцкИоу хацк се догодио још 2009. године: процурило је 32 милиона лозинки у отвореном тексту, а крекери лозинки су увидели како корисници креирају и користе лозинке.
То је био хацк који је показао доказ колико мало размишљамо о одабиру наших лозинки на пример. 123456, Волим те, Пассворд. Али још важније:
РоцкИоу прекршај је револуционирао креирање лозинки.
Добијање 32 милиона нехуманих, несољених, незаштићених лозинки подигла је игру за професионалне крекере за лозинке зато што иако нису били они који су извршили повреду података, сада су спремнији него икада да испуку хасхеве лозинки када се деси депоновање података. Лозинке добијене од РоцкИоу хацк-а су ажурирале листу напада на речник са стварним лозинкама које људи користе у стварном животу, доприносећи значајном, бржем и ефикаснијем пуцању.
Накнадне повреде података би дошао: Гавкер, еХармони, Стратфор, Заппос, Еверноте, ЛивингСоциал - и са неке хардверске надоградње, могуће је да аутор (након удруживања са неколико тимова релевантних за индустрију) дође до слома 173,7 милиона ЛинкедИн лозинки у пукој 6 дана (то је 98% потпуног скупа података). Толико о сигурности, ха?
5. Хасхинг лозинке - да ли они помажу?
Постоји тенденција да сајт који је доживео повреду података доведе до речи хасхед лозинке, сољене лозинке, хасх алгоритми и сличне појмове, као да вам кажем да су ваше лозинке енцриптед, и ерго ваш налог је безбедан (пхев). Добро…
Ако желите да разумете шта хасхинг и сољење је, како раде и како се разбијају, ово је добар чланак за читање.
У ризику од поједностављења концепта, овде следи:
- Хасх алгоритми мења лозинку да би је заштитили. Алгоритам заклања лозинку тако да је не може лако препознати трећа страна. Међутим, хасхеви могу бити напукнути нападима из рјечника (гдје долази точка 6) и брутални напади.
- Салтинг додаје насумични низ у лозинку пре него што се распрши. На тај начин, чак и ако се иста лозинка двапут згусне, исход ће бити другачији због соли.
Враћам се на Дропбок хацк, половина лозинки је под СХА-1 хасх-ом (соли које нису укључене, што их чини немогућим за пуцање), док је друга половина под бцриптом.
Овај микс означава прелаз са СХА-1 на бцрипт, што је био корак испред свог времена, пошто је СХА1 у средишту постепеног укидања до 2017, да буде замењен СХА2 или СХА3.
С тим у вези, важно је разумети да је "хеширање политика осигурања" које само успорава хакере и крекере. Чак и ако ова додатна заштита чини лозинке "тешко декодирати", то не значи да их је немогуће разбити.
У најбољем случају, само распршивање и сољење купите време корисника, довољно да промене своје лозинке да би спречили преузимање њиховог налога.
6. Последице хакова (повреде података)
(1) Хакови могу бити релативно бенигни као што је Дропбок хацк, или имају разарајуће резултате као што је кршење података Асхлеи Мадисон.
У последњем, процурело је 25ГБ података укључујући актуелне кућне адресе, трансакције кредитним картицама и историју претраживања њихових корисника. Због природе интернет странице, било је много случајева јавног осрамотивања, уцјене, изнуде, развода, па чак и самоубистава.
Хацк је такође изложио креирање лажних налога и употребу цхатбота како би привукли плаћене клијенте да се пријаве за рачун.
(2) Хакови такође показати нашу равнодушност у избору лозинки - то је све док није дошло до кршења.
Ово смо утврдили када смо дискутовали о томе како се РоцкИоу пробија у # 4. Ако имате много важних података који плутају на Вебу, то је добра идеја користите апликацију за управљање лозинкама. И омогућавање аутентификације у два корака. И никад не користите лозинке које су биле у кршењу података. И побрините се да други људи са којима радите усвојити исте сигурносне мјере.
Ако желите да направите корак даље, пријавите се за алатку за обавештења која вас упозорава када је ваша е-пошта укључена у кршење података.
(3) Хацкови показују сајт незаинтересованост за заштиту корисничких лозинки и податке.
У случају Дропбок-а и ЛинкедИн-а, можете видјети тај Дропбок подузели боље, више израчунате мјере како би се штета свела на минимум од оваквог кршења података.
Дропбок је користио боље методе хешовања и сољења, слао је е-пошту корисницима који су их подстакли да промене своје лозинке што је пре могуће, понудили аутентификацију у два фактора и универзални други фактор (У2Ф) који користи безбедносни кључ и променио политику особља (Дропбок запосленици сада користити 1Пассворд за управљање лозинкама, лозинке за корпоративне рачуне више се не могу поново користити, а сви интерни системи су на 2ФА).
За слом онога што је ЛинкедИн урадио, овај чланак је можда детаљнији и прикладнији за читање.
Окончање
Да будем искрен, учење о свему овоме само из проучавања Дропбок хацк-а било је очито и застрашујуће искуство. Ми, општа популација, потцењује потребу за јединственим и јаким лозинкама чак и након што је више пута речено да никада не дијеле или понављају лозинке, нити да користе ријечи из рјечника.
Ако су ваши подаци погођени Дропбок хацк-ом, подузмите потребне мјере предострожности како бисте осигурали своје особне податке. Уложите мало труда у ваше лозинке или добити управитеља лозинки. Ох, и трака преко вашег лаптопа или камере када није у употреби. Никада не можеш бити превише опрезан.
(Цовер пхото виа ГигаОм)
