이달 초 애리조나에 본사를 둔 기술 회사인 Gen Digital이 소유한 NortonLifeLock 온라인 ID 보호 서비스는 많은 고객에게 보안 경고를 보냈습니다.
경고 서한은 예를 들어 다음 웹 사이트에서 온라인으로 볼 수 있습니다. 버몬트 법무장관실, 제목 아래에 나타납니다. NortonLifeLock – 소비자에 대한 Gen 디지털 데이터 위반 알림.
편지는 다음과 같은 무시무시한 인사말로 시작합니다.
귀하의 개인 정보와 관련된 사건에 대해 알려드리고자 합니다.
다음과 같이 계속됩니다.
[침입 감지 시스템]은 귀하가 Norton 계정 [...] 및 Norton Password Manager에서 사용하고 있는 이메일과 암호를 권한이 없는 당사자가 알고 있을 가능성이 있다고 경고했습니다. 당사 및 다른 곳에서 즉시 비밀번호를 변경할 것을 권장합니다.
시작 단락으로 이동하면서 이 단락은 매우 간단하며 잠재적으로 시간이 많이 걸리는 경우 복잡하지 않은 조언을 포함합니다. 귀하가 아닌 다른 사람이 귀하의 Norton 계정 암호를 알고 있을 수 있습니다. 비밀번호 관리자도 엿볼 수 있었을 것입니다. 가능한 한 빨리 모든 암호를 변경하십시오.
여기에 무슨 일이 벌어 졌었 나?
하지만 여기서 실제로 무슨 일이 일어났으며, 이것이 관습적 의미의 위반이었습니까?
결국 암호 관리 게임의 또 다른 유명한 이름인 LastPass는 최근 네트워크 침입뿐만 아니라 고객 데이터, 암호화된 비밀번호 포함, 도난당했습니다.
LastPass의 경우 다행스럽게도 도난당한 암호는 공격자가 직접적이고 즉각적으로 사용할 수 없었습니다. 왜냐하면 각 사용자의 암호 저장소는 마스터 암호로 보호되었기 때문입니다. 마스터 암호는 LastPass에 의해 저장되지 않았기 때문에 동시에 도난당하지 않았습니다. .
사기꾼은 여전히 마스터 암호를 먼저 해독해야 합니다. 이 작업은 해당 암호가 얼마나 현명하게 선택되었는지에 따라 모든 사용자에게 몇 주, 몇 년, 수십 년 또는 그 이상이 걸릴 수 있습니다.
다음과 같은 잘못된 선택 123456
및 iloveyou
크랙이 발생한 후 처음 몇 시간 내에 우르르 울리겠지만 다음과 같은 조합은 예측하기 어렵습니다. DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
볼트에서 암호를 변경하는 데 걸리는 시간보다 훨씬 더 오래 버틸 것입니다.
그러나 LifeLock이 침해를 당하고 다른 사람이 이미 일부 사용자의 계정 비밀번호와 다른 모든 비밀번호의 마스터 비밀번호를 알고 있다고 회사에서 경고하는 경우…
…그게 훨씬 더 나쁘지 않은가?
해당 암호가 이미 어떻게든 해독되었습니까?
다른 종류의 위반
좋은 소식은 이 사례는 일반적으로 사용하는 사이트에 더 빨리 로그인하기 위해 여러 온라인 서비스에 동일한 암호를 사용하는 위험한 관행으로 인해 발생하는 상당히 다른 종류의 "침해"인 것 같습니다. 더 쉽게.
비밀번호를 변경하라는 LifeLock의 초기 조언 직후 회사는 다음과 같이 제안합니다.
[B]2022년 12월 01일경부터 승인되지 않은 제XNUMX자가 다크 웹과 같은 다른 소스에서 얻은 사용자 이름 및 암호 목록을 사용하여 Norton 고객 계정에 로그인을 시도했습니다. 우리 시스템은 손상되지 않았습니다. 그러나 승인되지 않은 제XNUMX자가 귀하의 계정에 대한 귀하의 사용자 이름과 암호를 알고 사용했다고 굳게 믿습니다.
서로 다른 여러 계정에서 동일한 암호를 사용하는 문제는 명백합니다. 계정 중 하나가 손상되면 도난당한 하나의 암호가 관련된 다른 서비스에 대한 골격 키처럼 작동하기 때문에 모든 계정도 손상될 수 있습니다. .
크리덴셜 스터핑 설명
사실, 하나의 훔친 암호가 여러 계정에서 작동하는지 테스트하는 프로세스는 사이버 사기꾼들에게 매우 인기가 있으며(그리고 매우 쉽게 자동화됨) 특별한 이름도 있습니다. 자격 증명 소.
온라인 범죄자가 귀하가 사용하는 모든 계정의 암호를 추측하거나 다크 웹에서 구입하거나 훔치거나 피싱하면 지역 뉴스 사이트나 스포츠 클럽과 같은 낮은 수준의 계정에서도 거의 즉시 동일한 암호를 시도합니다. 귀하의 이름으로 된 다른 가능한 계정.
간단히 말해, 공격자는 사용자 이름을 가져와 이미 알고 있는 암호와 결합하고 물건 그 신임장 그들이 생각할 수 있는 많은 인기 있는 서비스의 로그인 페이지에.
요즘 많은 서비스에서 이메일 주소를 사용자 이름으로 사용하는 것을 좋아하므로 Bad Guys가 이 프로세스를 훨씬 더 예측 가능하게 만듭니다.
그건 그렇고, 추측하기 어려운 하나의 암호 "줄기"를 사용하고 다른 계정에 대한 수정 사항을 추가하는 것도 그다지 도움이 되지 않습니다.
공통 구성 요소로 시작하여 가짜 "복잡성"을 만들려고 시도하는 곳입니다. is 와 같이 복잡한 Xo3LCZ6DD4+aY
, 그런 다음 다음과 같은 복잡하지 않은 수정자를 추가합니다. -fb
페이스북용, -tw
트위터와 -tt
틱톡을 위해.
문자 하나라도 달라지는 암호는 완전히 다른 뒤섞인 암호 해시로 끝나므로 훔친 암호 해시 데이터베이스는 서로 다른 암호 선택이 얼마나 유사한지에 대해 아무 것도 알려주지 않습니다.
...하지만 크리덴셜 스터핑 공격은 다음과 같은 경우에 사용됩니다. 공격자는 이미 암호의 일반 텍스트를 알고 있습니다., 따라서 각 암호를 다른 모든 암호에 대한 편리한 힌트로 바꾸지 않는 것이 중요합니다.
암호화되지 않은 암호가 범죄자의 손에 들어가는 일반적인 방법은 다음과 같습니다.
- 피싱 공격, 실수로 잘못된 사이트에 올바른 암호를 입력하여 실제로 로그인하려는 서비스 대신 범죄자에게 직접 전송됩니다.
- 키로거 스파이웨어, 브라우저 또는 노트북이나 휴대폰의 다른 앱에 입력하는 원시 키 입력을 의도적으로 기록하는 악성 소프트웨어.
- 열악한 서버 측 로깅 위생, 온라인 서비스에 침입한 범죄자는 회사가 일시적으로만 암호를 메모리에 보관하지 않고 실수로 디스크에 일반 텍스트 암호를 기록하고 있음을 발견합니다.
- RAM 스크래핑 악성코드, 손상된 서버에서 실행되어 신용 카드 세부 정보, ID 번호 및 암호와 같이 메모리에 일시적으로 나타날 가능성이 있는 데이터 패턴을 감시합니다.
피해자를 탓하고 있지 않습니까?
LifeLock 자체는 침해되지 않은 것처럼 보이지만 사이버 범죄자가 회사 자체 네트워크에 침입하여 내부에서 데이터를 스누핑한다는 기존의 의미에서 말하자면…
…우리는 이 사건이 어떻게 처리되었는지에 대한 비판을 보았습니다.
공정하게 말하면, 사이버 보안 공급업체는 고객이 "잘못된 일"을 하는 것을 항상 막을 수는 없습니다(예를 들어, Sophos 제품의 경우 구성 설정을 선택하면 화면에 밝고 대담하게 경고하기 위해 최선을 다합니다. 우리가 권장하는 것보다 더 위험하지만 우리의 조언을 받아들이도록 강요할 수는 없습니다).
특히, 온라인 서비스는 다른 사이트에서 정확히 동일한 암호를 설정하는 것을 쉽게 막을 수 없습니다. 특히 그렇게 하기 위해 다른 사이트와 공모하거나 자체적으로 크리덴셜 스터핑 테스트를 수행해야 하기 때문에 비밀번호의 신성함.
그럼에도 불구하고 일부 비평가들은 LifeLock이 비정상적인 로그인 시도 패턴을 탐지함으로써 이러한 대규모 암호 입력 공격을 더 빨리 발견할 수 있었다고 제안했습니다. 아마도 적어도 일부 손상된 사용자가 재사용하지 않았기 때문에 실패한 많은 시도를 포함했을 것입니다. 또는 도난당한 비밀번호의 데이터베이스가 부정확하거나 오래되었기 때문입니다.
비평가들은 가짜 로그인 시도가 시작된 후 회사가 이상을 발견하기까지 12일이 경과했으며(2022-12-01에서 2022-12-12까지), 처음 문제를 인지하고 문제가 거의 확실하게 회사 자체 네트워크가 아닌 다른 소스에서 획득한 침해 데이터에 이르기까지 합니다.
다른 사람들은 회사가 2023년 크리스마스 이전에 대량 비밀번호 채우기 시도를 알고 있었다면 영향을 받는 사용자에게 "위반" 알림을 보내기 위해 2022년 새해(12-12-2023 ~ 01-09-2022)까지 기다린 이유를 궁금해했습니다.
우리는 회사가 더 빨리 대응할 수 있었는지 여부를 추측하려고 시도하지 않을 것이지만 기억할 가치가 있습니다. 이러한 일이 발생할 경우를 대비하여 "위반"에 대한 주장을 받은 후 모든 두드러진 사실을 결정하는 것은 엄청난 일이 될 수 있습니다. 사업.
짜증나고 아마도 아이러니하게도 소위 적극적인 적 종종 우울할 정도로 쉽습니다.
수천 대 또는 수백만 달러의 암호화폐를 요구하는 랜섬웨어 협박 메모를 동시에 표시하는 수백 대의 컴퓨터를 본 사람이라면 누구나 유감스럽게도 이를 증명할 것입니다.
하지만 사이버 사기꾼이 무엇인지 파악하는 중 확실히 하지 않았다 본질적으로 부정적인 것으로 입증되는 네트워크에 대한 테스트는 적어도 과학적으로 수행하고 자신, 고객 및 규제 기관을 설득하기에 충분한 수준의 정확도로 수행하려는 경우 종종 시간이 많이 걸리는 작업입니다.
무엇을해야 하는가?
피해자 비난에 관해서는 그럼에도 불구하고 우리가 아는 한 LifeLock 또는 암호가 재사용된 다른 서비스가 자체적으로 할 수 있는 것은 아무것도 없다는 사실에 주목하는 것이 중요합니다. 이 문제.
즉, 사기꾼이 보안 수준이 낮은 사이트 S에서 동일한 암호를 사용했다는 사실을 발견했기 때문에 보안 수준이 높은 서비스 P, Q 및 R에서 계정에 침입하는 경우, 더 안전한 사이트는 귀하가 도용하는 것을 막을 수 없습니다. 미래에 같은 종류의 위험.
따라서 즉각적인 팁은 다음과 같습니다.
- 비밀번호를 재사용하는 습관이 있다면 더 이상 하지 마세요! 이 사건은 역사상 관련된 위험에 주의를 환기시킨 많은 사건 중 하나에 불과합니다. 모든 계정에 다른 암호를 사용하는 것에 대한 이 경고는 LifeLock 고객뿐만 아니라 모든 사람에게 적용된다는 점을 기억하십시오.
- 다른 사이트에서 관련된 비밀번호를 사용하지 마세요. 각 사이트에 고유한 쉽게 기억할 수 있는 접미사와 결합된 복잡한 암호 스템은 말 그대로 모든 사이트에서 다른 암호를 제공합니다. 그럼에도 불구하고 이러한 행동은 사기꾼이 하나의 손상된 암호 샘플에서도 알아낼 수 있는 명백한 패턴을 남깁니다. 이 "속임수"는 잘못된 보안 감각을 제공합니다.
- LifeLock으로부터 알림을 받은 경우 편지의 조언을 따르십시오.. 그럼에도 불구하고 합법적인 비정상적인 로그인(예: 휴가 중)으로 인해 일부 사용자가 알림을 받을 수 있지만 어쨌든 주의 깊게 읽어야 합니다.
- 가능한 모든 계정에 대해 2FA를 켜는 것을 고려하십시오. LifeLock 자체는 Norton 계정 및 이중 로그인이 지원되는 모든 계정에 대해 2FA(이중 인증)를 권장합니다. 2FA가 있는 경우 도난당한 암호 자체가 공격자에게 훨씬 덜 사용되기 때문에 우리는 동의합니다. LifeLock 고객이든 아니든 이 작업을 수행하십시오.
우리는 아직 암호가 전혀 없는 디지털 세계에 도달할 수 있습니다. 많은 온라인 서비스가 이미 그러한 방향으로 이동하려고 노력하고 있으며, 특수 하드웨어 토큰을 사용하거나 생체 측정을 수행하는 등 온라인 신원을 확인하는 다른 방법으로 독점적으로 전환하는 것을 고려하고 있습니다. 대신에.
그러나 암호는 이미 반세기 이상 동안 우리와 함께 했기 때문에 암호가 우리 온라인 계정의 전부는 아니더라도 일부 또는 많은 수년 동안 우리와 함께 있을 것이라고 생각합니다.
우리는 여전히 암호에 갇혀 있지만 가능한 한 사이버 범죄자에게 거의 도움이 되지 않는 방식으로 암호를 사용하기 위해 단호한 노력을 기울입시다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- 할 수 있는
- 소개
- 절대
- 수락
- 계정
- 계정
- 획득한
- 가로질러
- 행위
- 실제로
- 주소
- 조언
- 후
- All
- 이미
- 항상
- 및
- 발표
- 다른
- 표시
- 앱
- 아카이브
- 약
- 공격
- 시도하다
- 시도
- 주의
- 변호사
- 인증
- 저자
- 자동
- 자동화
- 배경 이미지
- 나쁜
- 때문에
- 전에
- 믿으세요
- BEST
- 사이에
- 생체 인식
- 비트
- 약탈
- 비난
- 경계
- 바닥
- 위반
- 흩어져
- 파괴
- 브라우저
- 구매
- 카드
- 면밀히
- 케이스
- 원인
- 발생
- 센터
- 세기
- 확실히
- 이전 단계로 돌아가기
- 문자
- 확인
- 선택
- 왼쪽 메뉴에서
- 선택
- 크리스마스
- 주장
- 클럽
- 색
- 조합
- 결합
- 결합 된
- 공통의
- 회사
- 회사
- 복잡한
- 복잡한
- 구성 요소
- 손상된
- 컴퓨터
- 행위
- 구성
- 이 포함되어 있습니다
- 계속
- 전통적인
- 납득시키다
- 수
- 엄호
- 갈라진 금
- 만들
- 신임장
- 신용
- 크레디트 카드
- 범죄자
- 범죄자
- 비판
- 비평가
- 고객
- 고객 데이터
- 고객
- 사이버 범죄자
- 사이버 보안
- 위험
- 어두운
- 어두운 웹
- 데이터
- 데이터 위반
- 데이터베이스
- 데이터베이스
- 일
- 수십 년
- 요구
- 의존
- 세부설명
- Detection System
- 결정된
- 결정
- DID
- 다른
- 디지털
- 디지털 세계
- 곧장
- 방향
- 직접
- 발견
- 발견
- 디스플레이
- 하지 않습니다
- 달러
- 말라
- 아래 (down)
- 마다
- 초기의
- 쉽게
- 용이하게
- 노력
- 중
- 다른
- 이메일
- 암호화
- 본질적으로
- 조차
- EVER
- 사람
- 정확하게
- 예
- 독점적으로
- 운동
- 페이스북
- 실패한
- 공정한
- 모조품
- 떨어지다
- 를
- 그림
- 발견
- 먼저,
- 수정
- 따라
- 다음
- 힘
- 다행히도
- 에
- 추가
- 미래
- 경기
- 세대
- 얻을
- 주기
- 제공
- Go
- 가는
- 좋은
- 반
- 손
- 능숙한
- 일이
- 발생
- 하드웨어
- 해시
- 신장
- 도움
- 여기에서 지금 확인해 보세요.
- history
- 보유
- 진료 시간
- 가져가
- 방법
- 그러나
- HTTPS
- 수백
- 통합 인증
- 즉시
- 바로
- in
- 사건
- 포함
- 포함
- 정보
- 를 받아야 하는 미국 여행자
- 참여
- 아이러니하게
- 발행물
- IT
- 그 자체
- 딱 하나만
- 유지
- 키
- 알아
- 지식
- 휴대용 퍼스널 컴퓨터
- 제작 : LastPass
- 편지
- 레벨
- 아마도
- 명부
- 작은
- 지방의
- 이상
- 찾고
- 봐라.
- 확인
- 제작
- 악성 코드
- 구축
- 매니저
- .
- 한계
- 석사
- 최대 폭
- 측정 시간 상관관계
- 메모리
- 수도
- 수백만
- 수정
- 달
- 배우기
- 움직임
- 여러
- name
- 필요
- 부정
- 네트워크
- 네트워크
- 그렇지만
- 신제품
- 새해
- news
- 표준
- 공고
- 알림
- 숫자
- 획득
- 분명한
- ONE
- 온라인
- 열기
- 주문
- 기타
- 기타
- 자신의
- 소유
- 파티
- 비밀번호
- 암호 관리
- 암호 관리자
- 암호
- 무늬
- 패턴
- 폴
- 혹시
- 확인
- 전화
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 부디
- 인기 문서
- 위치
- 가능한
- 게시물
- 잠재적으로
- 연습
- 예측 가능
- 예쁜
- 예방
- 아마
- 문제
- 방법
- 제품
- 보호
- 보호
- 놓다
- 빨리
- 빨리
- 랜섬
- 살갗이 벗어 진
- 읽기
- 받다
- 접수
- 최근에
- 권하다
- 추천하다
- 기록
- 레귤레이터
- 관련
- 기억
- 기억
- 위험
- 위험한
- 같은
- 보안
- 것
- 감각
- 진지한
- 서버
- 서비스
- 서비스
- 설정
- 설정
- 몇몇의
- 비슷한
- 간단히
- 동시에
- 단일
- 대지
- 사이트
- 사생활 침해
- So
- 소프트웨어
- 고체
- 일부
- 어떤 사람
- 무언가
- 출처
- 말하기
- 특별한
- 스포츠
- 스파이웨어
- 시작 중
- 시작
- 훔치다
- 줄기
- 아직도
- 훔친
- 중지
- 저장
- 이야기
- 똑 바른
- 강하게
- 소
- 이러한
- 충분한
- 제안
- 지원
- SVG
- 시스템은
- 받아
- 복용
- 태스크
- Technology
- 지원
- 테스트
- XNUMXD덴탈의
- 그들의
- 따라서
- 제삼
- 수천
- 을 통하여
- Tik의 톡
- 시간
- 시간이 많이 걸리는
- 도움말
- Title
- 에
- 토큰
- 상단
- 완전히
- 전이
- 투명한
- 선회
- 트위터
- 아래에
- 유일한
- URL
- us
- 사용
- 사용자
- 사용자
- 사용
- 휴가
- 둥근 천장
- 공급 업체
- 버몬트
- 피해자
- 위반
- 필수
- 경고
- 손목 시계
- 방법
- 웹
- 웹 사이트
- 주
- 잘 알려진
- 뭐
- 여부
- 어느
- 동안
- 누구
- 의지
- 이내
- 없이
- 말
- 일
- 세계
- 가치
- 겠지
- 쓰기
- 잘못된
- year
- 년
- 자신의
- 너의
- 당신 자신
- 제퍼 넷