Praeita naktis anonimas įsilaužėlis teigė, kad jį turi iš 7 milijonų slaptažodžių į „Dropbox“ paskyras. Nors šis teiginys tikriausiai buvo melagingas, jis rodo vis dažniau įsilaužėlių naudojamą būdą pasiekti jūsų slaptažodžius.
Įsilaužėlis anoniminių užrašų svetainėje „Pastebin“ paskelbė apie 400 vartotojo vardų ir slaptažodžių „pagrindinių sąrašų“ serijoje. Kai kurie „Reddit“ vartotojai galėjo sėkmingai prisijungti prie „Dropbox“ naudodamiesi paskelbta informacija, kol įmonė išjungė visus nutekėjusius slaptažodžius.
Bet „Dropbox“ greitai sukėlė abejonių dėl pretenzijų , neigdamas, kad buvo nulaužtas, ir teigdamas, kad daugelis vartotojo vardų ir slaptažodžių net nebuvo susiję su „Dropbox“ paskyromis.
Taigi, iš kur slaptažodžiai? Juk jie kurį laiką dirbo.
Labiausiai tikėtinas informacijos šaltinis yra trečiosios šalies svetainė, kurioje buvo blogas saugumas. Įsilaužėliai žino, kad dauguma interneto vartotojų pakartotinai naudoja savo slaptažodžius, todėl dažnai taikosi į mažesnes programėles, sukurtas mėgėjų kūrėjų. Šie lengvi taikiniai turi prastą saugumą, todėl vartotojo vardai, slaptažodžiai ar failai gali būti saugomi taip, kad juos įsilaužėliams būtų lengva pavogti.
Neseniai „Snapchat“ nulaužė , kuris matė beveik 100 000 privačių nuotraukų ir vaizdo įrašų, paskelbtų internete, įvyko todėl, kad kūrėjas mėgėjas nebuvo saugiai sukūręs savo svetainės. Įraše „Snapsaved“ „Facebook“ puslapyje , anoniminis svetainės įkūrėjas paaiškina, kad netinkamai sukonfigūruotas „Apache“ serveris paliko failus pažeidžiamus įsilaužėlių.
Įsilaužėliams nebereikia bandyti nukreipti technologijų gigantų. Kodėl verta stengtis įsilaužti į „Google“, „Apple“ ar „Facebook“ serverius, kai paprasčiausiai galite pasinaudoti prastai sukurtos svetainės pranašumais, kad gautumėte tą pačią informaciją?
Dabar matome, kad įsilaužėliai taiko naują požiūrį. Užuot praleidę mėnesius ieškodami pažeidžiamumų didelėse svetainėse, jie vėl naudoja prisijungimo informaciją, pavogtą iš mėgėjų trečiųjų šalių programų. Yra tikimybė, kad informacija veikia keliose svetainėse, taigi, sudėjus šias duomenų talpyklas, galima greitai sukurti milijonų slaptažodžių sąrašą.
Rugsėjį, Rusijos įsilaužėliai paskelbė sąrašą iš 5 milijonų slaptažodžių įvairiems el. pašto paslaugų teikėjams, įskaitant „Gmail“. Tai nebuvo naujas nutekėjimas, tačiau kartu surinkta senesnių slaptažodžių nutekėjimo kolekcija atrodė nauja. Aišku, daugelis el. Pašto paskyrų buvo uždarytos, tačiau įsilaužėliai vis tiek galėjo atsisiųsti ir naudoti informaciją, norėdami įsilaužti į kitas paskyras.
Taigi kodėl įsilaužėliai vėl naudoja seną informaciją? Retai yra įrodymų, kad jie iš tikrųjų naudoja slaptažodžius prisijungdami prie svetainių. Vietoj to atrodo, kad jie tiesiog paskelbia informaciją internete. Arba bent jau dalį informacijos jie paskelbia internete. Kaip jau minėjome anksčiau, įsilaužėliai nutekino dalinį slaptažodžių rinkimą kaip „erzinančius“. Tai dažnai lydi prašymas aukoti Bitcoin.
Mes galime naudoti viešą „Bitcoin“ adresų pobūdį, kad sužinotume, kiek įsilaužėliai gauna paskelbdami slaptažodžius internete. Tai dažnai mažiau, nei jie tikisi gauti. Įsilaužėlis, kuris pasidalijo „Dropbox“ slaptažodžių kolekcija gavo vos 8 centus . Panašiai, „OriginalGuy“, anoniminis forumo plakatas už pirmosios nulaužtų „iCloud“ garsenybių nuotraukų bangos, išreiškė nepasitenkinimą dėl nedidelio aukų srauto tai atėjo jo keliu, pastebėdamas:
Aišku, aš turėjau 120 USD su savo „Bitcoin“ adresu, bet kai atsižvelgiate į tai, kiek laiko praleido įsigyjant šią medžiagą (aš nesu įsilaužėlis, tik kolekcionierius), ir pinigus (aš taip pat daug mokėjau per „Bitcoin“, kad įsitikinčiau) rinkiniai, kai šia preke buvo prekiaujama privačiai penktadienį / šeštadienį) Aš tikrai nepriartėjau prie to, ko tikėjausi.
Matome, kad vis daugiau slaptažodžių nuteka internete. Kūrėjai mėgėjai nepadidina slaptažodžių saugumo, o esami nutekėjimai ir toliau išlieka. Nors viešai skelbiama informacija dažnai būna pasenusi (daugelis el. Laiškų, paskelbtų kartu su „Dropbox“ slaptažodžiais, 2012 m. Buvo deaktyvinti), įsilaužėliams vis dar vertinga sudaryti didelius el. Pašto adresų ir slaptažodžių sąrašus, kurie bus naudojami atakoms prieš kitas svetaines. .
Jei tik neaišku, tai yra ir jūsų kaltė: jei naudojate tuos pačius slaptažodžius vis su kitomis programomis, įsilaužėliams nereikia jų patekti į „Apple“ ar „Facebook“ serverius. Jie tiesiog nustato mažesnes programas, kurių slaptažodžių apsauga yra silpniausia.
- Tai istorija pirmą kartą pasirodė Verslo viešai neatskleista informacija.
