Anfang dieses Monats hat der Online-Identitätsschutzdienst NortonLifeLock, der dem in Arizona ansässigen Technologieunternehmen Gen Digital gehört, eine Sicherheitswarnung an viele seiner Kunden gesendet.
Die Abmahnung kann online eingesehen werden, beispielsweise auf der Internetseite der Büro des Generalstaatsanwalts von Vermont, wo es unter dem Titel erscheint NortonLifeLock – Gen Digital Data Breach Notice für Verbraucher.
Der Brief beginnt mit einer furchterregend klingenden Anrede, die besagt:
Wir schreiben Ihnen, um Sie über einen Vorfall mit Ihren personenbezogenen Daten zu informieren.
Es geht wie folgt weiter:
[Unsere Intrusion Detection-Systeme] haben uns gewarnt, dass eine unbefugte Partei wahrscheinlich Kenntnis von der E-Mail-Adresse und dem Passwort hat, die Sie mit Ihrem Norton-Konto […] und Ihrem Norton-Passwort-Manager verwendet haben. Wir empfehlen Ihnen, Ihre Passwörter bei uns und anderswo sofort zu ändern.
Was die ersten Absätze angeht, ist dieser ziemlich einfach und enthält unkomplizierte, wenn auch möglicherweise zeitaufwändige Ratschläge: Jemand anderes als Sie kennt wahrscheinlich Ihr Norton-Kontokennwort; sie konnten möglicherweise auch einen Blick in Ihren Passwort-Manager werfen; Bitte ändern Sie alle Passwörter so schnell wie möglich.
Was ist hier passiert?
Aber was ist hier eigentlich passiert, und war das ein Bruch im herkömmlichen Sinne?
Immerhin gab LastPass, ein weiterer bekannter Name in der Passwortverwaltung, kürzlich bekannt, dass es nicht nur einen Netzwerkeinbruch erlitten hatte, sondern auch, dass Kundendaten, einschließlich verschlüsselter Passwörter, wurde gestohlen.
Im Fall von LastPass waren die gestohlenen Passwörter glücklicherweise nicht von direktem und unmittelbarem Nutzen für die Angreifer, da der Passwort-Tresor jedes Benutzers durch ein Master-Passwort geschützt war, das nicht von LastPass gespeichert und daher nicht gleichzeitig gestohlen wurde .
Die Gauner müssen immer noch zuerst diese Master-Passwörter knacken, eine Aufgabe, die für jeden Benutzer Wochen, Jahre, Jahrzehnte oder sogar länger dauern kann, je nachdem, wie klug diese Passwörter gewählt wurden.
Schlechte Entscheidungen wie z 123456
und iloveyou
Wahrscheinlich wurden innerhalb der ersten paar Stunden Knacken gerumpelt, aber weniger vorhersehbare Kombinationen wie z DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
hält mit ziemlicher Sicherheit viel länger durch, als es dauern würde, die Passwörter in Ihrem Tresor zu ändern.
Aber wenn LifeLock gerade einen Verstoß erlitten hat und das Unternehmen warnt, dass jemand anderes bereits die Account-Passwörter einiger Benutzer kannte und vielleicht auch das Master-Passwort für alle ihre anderen Passwörter …
… ist das nicht viel schlimmer?
Wurden diese Passwörter schon irgendwie geknackt?
Eine andere Art von Bruch
Die gute Nachricht ist, dass dieser Fall eine ganz andere Art von „Breach“ zu sein scheint, wahrscheinlich verursacht durch die riskante Praxis, dasselbe Passwort für mehrere verschiedene Online-Dienste zu verwenden, um die Anmeldung bei Ihren häufig verwendeten Websites etwas schneller zu machen und einfacher.
Unmittelbar nach dem frühen Rat von LifeLock, Ihre Passwörter zu ändern, schlägt das Unternehmen Folgendes vor:
[B]Ab etwa dem 2022 hatte ein unbefugter Dritter eine Liste mit Benutzernamen und Passwörtern verwendet, die aus einer anderen Quelle, wie dem Dark Web, stammte, um zu versuchen, sich bei Norton-Kundenkonten anzumelden. Unsere eigenen Systeme wurden nicht kompromittiert. Wir sind jedoch der festen Überzeugung, dass ein unbefugter Dritter Ihren Benutzernamen und Ihr Passwort für Ihr Konto kennt und verwendet hat.
Das Problem bei der Verwendung desselben Passworts für mehrere verschiedene Konten ist offensichtlich – wenn eines Ihrer Konten kompromittiert wird, sind alle Ihre Konten so gut wie kompromittiert, da dieses eine gestohlene Passwort wie ein Skelettschlüssel für die anderen beteiligten Dienste fungiert .
Credential Stuffing erklärt
Tatsächlich ist der Prozess des Testens, ob ein gestohlenes Passwort über mehrere Konten hinweg funktioniert, bei Cyberkriminellen so beliebt (und so einfach zu automatisieren), dass er sogar einen besonderen Namen hat: Zeugnisfüllung.
Wenn ein Online-Krimineller ein Passwort für ein von Ihnen verwendetes Konto errät, im Dark Web kauft, stiehlt oder phisht, selbst wenn es sich um ein Konto auf niedriger Ebene wie Ihre lokale Nachrichtenseite oder Ihren Sportverein handelt, wird er fast sofort dasselbe Passwort ausprobieren andere wahrscheinliche Konten in Ihrem Namen.
Einfach ausgedrückt nehmen die Angreifer Ihren Benutzernamen, kombinieren ihn mit dem ihnen bereits bekannten Passwort und Zeug diejenigen Beglaubigungsschreiben in die Login-Seiten von so vielen beliebten Diensten, wie sie sich vorstellen können.
Viele Dienste verwenden heutzutage gerne Ihre E-Mail-Adresse als Benutzernamen, was diesen Vorgang für die Bösewichte noch vorhersehbarer macht.
Übrigens hilft es auch nicht viel, einen einzigen, schwer zu erratenden Passwort-„Stamm“ zu verwenden und Änderungen für verschiedene Konten hinzuzufügen.
Das ist der Punkt, an dem Sie versuchen, eine vorgetäuschte „Komplexität“ zu erzeugen, indem Sie mit einer gemeinsamen Komponente beginnen is kompliziert, wie z Xo3LCZ6DD4+aY
, und dann unkomplizierte Modifikatoren wie anhängen -fb
für Facebook, -tw
für Twitter und -tt
für TikTok.
Passwörter, die sich auch nur um ein einziges Zeichen unterscheiden, enden mit einem völlig anderen verschlüsselten Passwort-Hash, sodass gestohlene Datenbanken mit Passwort-Hashes Ihnen nichts darüber sagen, wie ähnlich sich verschiedene Passwort-Auswahlen sind …
…aber wenn Credential-Stuffing-Angriffe eingesetzt werden Die Angreifer kennen bereits den Klartext Ihres Passworts, daher ist es wichtig zu vermeiden, dass jedes Passwort zu einem praktischen Hinweis für alle anderen wird.
Häufige Wege, auf denen unverschlüsselte Passwörter in kriminelle Hände geraten, sind:
- Phishing-Angriffe, wo Sie versehentlich das richtige Passwort auf der falschen Seite eingeben, sodass es direkt an die Kriminellen gesendet wird, anstatt an den Dienst, bei dem Sie sich eigentlich anmelden wollten.
- Keylogger-Spyware, bösartige Software, die absichtlich die rohen Tastenanschläge aufzeichnet, die Sie in Ihren Browser oder in andere Apps auf Ihrem Laptop oder Telefon eingeben.
- Schlechte serverseitige Logging-Hygiene, wo Kriminelle, die in einen Online-Dienst einbrechen, entdecken, dass das Unternehmen versehentlich Klartext-Passwörter auf der Festplatte protokolliert hat, anstatt sie nur vorübergehend im Speicher zu behalten.
- RAM-Scraping-Malware, das auf kompromittierten Servern ausgeführt wird, um nach wahrscheinlichen Datenmustern Ausschau zu halten, die vorübergehend im Speicher erscheinen, wie z. B. Kreditkartendetails, ID-Nummern und Passwörter.
Gibst du nicht den Opfern die Schuld?
Auch wenn es so aussieht, als wäre LifeLock selbst nicht geknackt worden, im herkömmlichen Sinne, dass Cyberkriminelle in die eigenen Netzwerke des Unternehmens einbrechen und sozusagen Daten von innen herausschnüffeln…
… wir haben einige Kritik darüber gesehen, wie dieser Vorfall gehandhabt wurde.
Um fair zu sein, Cybersicherheitsanbieter können ihre Kunden nicht immer daran hindern, „das Falsche zu tun“ (bei Sophos-Produkten tun wir beispielsweise unser Bestes, um Sie auf dem Bildschirm hell und deutlich zu warnen, wenn Sie Konfigurationseinstellungen wählen, die das sind riskanter als wir empfehlen, aber wir können Sie nicht zwingen, unseren Rat anzunehmen).
Insbesondere kann ein Online-Dienst Sie nicht einfach daran hindern, auf anderen Websites genau das gleiche Passwort festzulegen – nicht zuletzt, weil er dazu mit diesen anderen Websites zusammenarbeiten oder eigene Credential-Stuffing-Tests durchführen und somit verletzen müsste die Heiligkeit Ihres Passworts.
Dennoch haben einige Kritiker angedeutet, dass LifeLock diese Massen-Password-Stuffing-Angriffe schneller hätte erkennen können, vielleicht durch die Erkennung des ungewöhnlichen Musters von Anmeldeversuchen, vermutlich einschließlich vieler, die fehlgeschlagen sind, weil zumindest einige kompromittierte Benutzer keine Wiederverwendung vorgenommen haben Passwörter oder weil die Datenbank gestohlener Passwörter ungenau oder veraltet war.
Diese Kritiker stellen fest, dass 12 Tage zwischen dem Beginn der gefälschten Anmeldeversuche und der Entdeckung der Anomalie durch das Unternehmen vergangen sind (2022 bis 12) und weitere 01 Tage zwischen dem ersten Bemerken des Problems und dem Herausfinden, dass es das Problem war mit ziemlicher Sicherheit auf verletzte Daten zurückzuführen, die aus einer anderen Quelle als den eigenen Netzwerken des Unternehmens stammen.
Andere haben sich gefragt, warum das Unternehmen bis zum Neujahr 2023 (2022-12-12 bis 2023-01-09) gewartet hat, um seine „Breach“-Benachrichtigung an betroffene Benutzer zu senden, wenn es vor Weihnachten 2022 von Massen-Password-Stuffing-Versuchen wusste.
Wir werden nicht versuchen zu erraten, ob das Unternehmen schneller hätte reagieren können, aber es lohnt sich, daran zu denken – falls Ihnen das jemals passiert – dass die Ermittlung aller wesentlichen Fakten, nachdem Sie Ansprüche wegen „eines Verstoßes“ erhalten, ein Mammut sein kann Unternehmen.
Ärgerlich und vielleicht ironisch, wenn Sie herausfinden, dass Sie direkt von so genannten verletzt wurden aktive Gegner ist oft bedrückend einfach.
Jeder, der Hunderte von Computern gleichzeitig gesehen hat, auf denen eine unverblümte Ransomware-Erpressungsnotiz angezeigt wurde, in der Tausende oder Millionen von Dollar in Kryptocoins gefordert wurden, wird dies bedauerlicherweise bestätigen.
Aber herauszufinden, was Cybergauner definitiv nicht gemacht zu Ihrem Netzwerk, das sich im Wesentlichen als negativ erweist, ist oft eine zeitaufwändige Übung, zumindest wenn Sie es wissenschaftlich und mit einem ausreichenden Maß an Genauigkeit tun möchten, um sich selbst, Ihre Kunden und die Aufsichtsbehörden zu überzeugen.
Was ist zu tun?
Was die Opferbeschuldigung betrifft, so ist es dennoch wichtig zu beachten, dass, soweit wir wissen, LifeLock oder andere Dienste, bei denen Passwörter wiederverwendet wurden, jetzt nichts tun können, um die zugrunde liegende Ursache zu beheben dieses Problem.
Mit anderen Worten, wenn Betrüger bei den einigermaßen sicheren Diensten P, Q und R in Ihre Konten eindringen, nur weil sie herausgefunden haben, dass Sie dasselbe Passwort auf der nicht so sicheren Seite S verwendet haben, können diese sichereren Seiten Sie nicht davon abhalten, das zu verwenden die gleiche Art von Risiko in der Zukunft.
Unsere Sofort-Tipps sind also:
- Wenn Sie die Gewohnheit haben, Passwörter wiederzuverwenden, tun Sie es nicht mehr! Dieser Vorfall ist nur einer von vielen in der Geschichte, die die Aufmerksamkeit auf die damit verbundenen Gefahren lenken. Denken Sie daran, dass diese Warnung zur Verwendung eines anderen Passworts für jedes Konto für alle gilt, nicht nur für LifeLock-Kunden.
- Verwenden Sie keine verwandten Passwörter auf verschiedenen Websites. Ein komplexer Passwortstamm in Kombination mit einem leicht zu merkenden Suffix, das für jede Website einzigartig ist, gibt Ihnen buchstäblich auf jeder Website ein anderes Passwort. Aber dieses Verhalten hinterlässt trotzdem ein offensichtliches Muster, das Gauner wahrscheinlich herausfinden werden, selbst aus einer einzigen kompromittierten Passwortprobe. Dieser „Trick“ gibt Ihnen nur ein falsches Sicherheitsgefühl.
- Wenn Sie eine Benachrichtigung von LifeLock erhalten haben, befolgen Sie die Anweisungen in dem Schreiben. Es ist möglich, dass einige Benutzer Benachrichtigungen wegen ungewöhnlicher und dennoch legitimer Anmeldungen erhalten (z. B. im Urlaub), aber lesen Sie sie trotzdem sorgfältig durch.
- Erwägen Sie, 2FA für alle möglichen Konten zu aktivieren. LifeLock selbst empfiehlt 2FA (Zwei-Faktor-Authentifizierung) für Norton-Konten und für alle Konten, bei denen Zwei-Faktor-Anmeldungen unterstützt werden. Wir stimmen dem zu, denn gestohlene Passwörter allein nützen Angreifern viel weniger, wenn Sie auch 2FA im Weg haben. Tun Sie dies unabhängig davon, ob Sie LifeLock-Kunde sind oder nicht.
Möglicherweise landen wir noch in einer digitalen Welt ohne Passwörter – viele Online-Dienste versuchen bereits, sich in diese Richtung zu bewegen, indem sie ausschließlich auf andere Methoden zur Überprüfung Ihrer Online-Identität umsteigen, z. B. die Verwendung spezieller Hardware-Token oder die Durchführung biometrischer Messungen stattdessen.
Aber Passwörter sind schon seit mehr als einem halben Jahrhundert bei uns, also vermuten wir, dass sie noch viele Jahre bei uns sein werden, für einige oder viele, wenn nicht mehr alle unserer Online-Konten.
Während wir immer noch mit Passwörtern festsitzen, sollten wir uns entschlossen bemühen, sie so zu verwenden, dass Cyberkriminellen so wenig wie möglich geholfen wird.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- Fähig
- Über Uns
- Absolute
- Akzeptieren
- Konto
- Trading Konten
- Genauigkeit
- erworben
- über
- Handlungen
- berührt das Schneidwerkzeug
- Adresse
- Beratung
- Nach der
- Alle
- bereits
- immer
- und
- angekündigt
- Ein anderer
- erscheinen
- Apps
- Archiv
- um
- Anschläge
- Versuche
- Versuche
- Aufmerksamkeit
- Rechtsanwalt
- Authentifizierung
- Autor
- Auto
- Automatisiert
- background-image
- Badewanne
- weil
- Bevor
- Glauben
- BESTE
- zwischen
- biometrisch
- Bit
- Erpressung
- Schuldzuweisung
- Grenze
- Boden
- Verletzung
- Break
- Bruch
- Browser
- Kauft
- Karte
- vorsichtig
- Häuser
- Verursachen
- verursacht
- Center
- Jahrhundert
- sicherlich
- Übernehmen
- Charakter
- Überprüfung
- Entscheidungen
- Auswählen
- gewählt
- Weihnachten
- aus aller Welt
- Club
- Farbe
- Kombinationen
- kombinieren
- kombiniert
- gemeinsam
- Unternehmen
- Unternehmen
- Komplex
- kompliziert
- Komponente
- Kompromittiert
- Computer
- Leiten
- Konfiguration
- enthält
- weiter
- konventionellen
- überzeugen
- könnte
- Abdeckung
- Riss
- erstellen
- KREDENTIAL
- Kredit
- Kreditkarte
- Kriminell
- Criminals
- Kritik
- Kritik
- Kunde
- Kundendaten
- Kunden
- Cyber-Kriminelle
- Internet-Sicherheit
- Gefahren
- Dunkel
- Dunkle Web
- technische Daten
- Datenmissbrauch
- Datenbase
- Datenbanken
- Tage
- Jahrzehnte
- anspruchsvoll
- Abhängig
- Details
- Entdeckung
- entschlossen
- Festlegung
- DID
- anders
- digital
- Digitale Welt
- Direkt
- Richtung
- Direkt
- entdeckt,
- entdeckt
- Display
- Tut nicht
- Dollar
- Nicht
- nach unten
- jeder
- Früh
- einfacher
- leicht
- Anstrengung
- entweder
- anderswo
- verschlüsselt
- im Wesentlichen
- Sogar
- ÜBERHAUPT
- jedermann
- genau
- Beispiel
- ausschließlich
- Training
- Gescheitert
- Messe
- Fälschung
- Fallen
- wenige
- Abbildung
- Suche nach
- Vorname
- Fixieren
- folgen
- folgt
- Zwingen
- Zum Glück
- für
- weiter
- Zukunft
- Spiel
- Jan
- bekommen
- ABSICHT
- gibt
- Go
- gehen
- gut
- Hälfte
- Hände
- praktisch
- passiert
- das passiert
- Hardware
- Hash-
- Höhe
- Hilfe
- hier
- Geschichte
- STUNDEN
- schweben
- Ultraschall
- aber
- HTTPS
- hunderte
- Identitätsschutz
- unmittelbar
- sofort
- in
- Zwischenfall
- das
- Einschließlich
- Information
- beantragen müssen
- beteiligt
- Ironisch
- Problem
- IT
- selbst
- nur einer
- Aufbewahrung
- Wesentliche
- Wissen
- Wissen
- Laptop
- Lastpass
- Brief
- Niveau
- wahrscheinlich
- Liste
- wenig
- aus einer regionalen
- länger
- suchen
- SIEHT AUS
- um
- MACHT
- Malware
- Management
- Manager
- viele
- Marge
- Master
- max-width
- Messungen
- Memory
- könnte
- Millionen
- Änderungen
- Monat
- mehr
- schlauer bewegen
- mehrere
- Name
- Need
- Negativ
- Netzwerk
- Netzwerke
- dennoch
- Neu
- Neujahr
- News
- normal
- Benachrichtigung
- Benachrichtigungen
- Zahlen
- erhalten
- offensichtlich
- EINEM
- Online
- Eröffnung
- Auftrag
- Andere
- Anders
- besitzen
- Besitz
- Party
- Passwort
- Passwortverwaltung
- Password Manager
- Passwörter
- Schnittmuster
- Muster
- Alexander
- vielleicht
- persönliche
- Telefon
- Plato
- Datenintelligenz von Plato
- PlatoData
- Bitte
- Beliebt
- Position
- möglich
- BLOG-POSTS
- möglicherweise
- Praxis
- Vorhersagbar
- ziemlich
- verhindern
- wahrscheinlich
- Aufgabenstellung:
- Prozessdefinierung
- Produkte
- geschützt
- Sicherheit
- setzen
- schneller
- schnell
- Ransomware
- Roh
- Lesen Sie mehr
- erhalten
- Received
- kürzlich
- empfehlen
- empfiehlt
- Aufzeichnungen
- Regulators
- bezogene
- merken
- Erinnern
- Risiko
- Riskant
- gleich
- Sicherheitdienst
- scheint
- Sinn
- ernst
- Fertige Server
- Lösungen
- Einstellung
- Einstellungen
- mehrere
- ähnlich
- einfach
- gleichzeitig
- Single
- am Standort
- Seiten
- Snooping
- So
- Software
- solide
- einige
- Jemand,
- etwas
- Quelle
- Sprechen
- besondere
- Sports
- Spyware
- Beginnen Sie
- beginnt
- Stiehlt
- Vorbau
- Immer noch
- gestohlen
- Stoppen
- gelagert
- Geschichte
- einfach
- starker
- Füllung
- so
- ausreichend
- Schlägt vor
- Unterstützte
- SVG
- Systeme und Techniken
- Nehmen
- Einnahme
- Aufgabe
- Technologie
- Testen
- Tests
- Das
- ihr
- deswegen
- Dritte
- Tausende
- Durch
- TikTok
- Zeit
- Zeitaufwendig
- Tipps
- Titel
- zu
- Tokens
- Top
- TOTAL
- Übergang
- transparent
- Drehung
- für
- einzigartiges
- URL
- us
- -
- Mitglied
- Nutzer
- seit
- Urlaub
- Gewölbe
- Anbieter
- Vermont
- Opfer
- Verletzung
- lebenswichtig
- Warnung
- Ansehen
- Wege
- Netz
- Webseite
- Wochen
- bekannt
- Was
- ob
- welche
- während
- WHO
- werden wir
- .
- ohne
- Worte
- Werk
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- wert
- würde
- Schreiben
- Falsch
- Jahr
- Jahr
- Du
- Ihr
- sich selbst
- Zephyrnet