Na początku tego miesiąca usługa ochrony tożsamości online NortonLifeLock, której właścicielem jest firma technologiczna Gen Digital z Arizony, wysłała ostrzeżenie dotyczące bezpieczeństwa do wielu swoich klientów.
List ostrzegawczy można obejrzeć online, na przykład na stronie internetowej Biuro prokuratora generalnego stanu Vermont, gdzie pojawia się pod tytułem NortonLifeLock — Powiadomienie konsumentów o naruszeniu danych cyfrowych generacji.
List zaczyna się groźnie brzmiącym pozdrowieniem, które brzmi:
Piszemy, aby powiadomić Cię o incydencie dotyczącym Twoich danych osobowych.
Kontynuuje w następujący sposób:
[Nasze systemy wykrywania włamań] powiadomiły nas, że nieupoważniona osoba prawdopodobnie zna adres e-mail i hasło używane do konta Norton […] i programu Norton Password Manager. Zalecamy natychmiastową zmianę haseł u nas i gdzie indziej.
W początkowych akapitach ten jest dość prosty i zawiera nieskomplikowane, choć potencjalnie czasochłonne porady: ktoś inny niż ty prawdopodobnie zna hasło do konta Norton; mogli również zajrzeć do Twojego menedżera haseł; prosimy o jak najszybszą zmianę wszystkich haseł.
Co tu się stało?
Ale co tak naprawdę się tutaj wydarzyło i czy było to wyłom w konwencjonalnym sensie?
W końcu LastPass, inna dobrze znana nazwa w grze do zarządzania hasłami, niedawno ogłosiła nie tylko, że padła ofiarą włamania do sieci, ale także, że dane klientów, w tym zaszyfrowane hasła, został skradziony.
W przypadku LastPass na szczęście skradzione hasła nie były bezpośrednio i natychmiastowo wykorzystywane przez atakujących, ponieważ skarbiec haseł każdego użytkownika był chroniony hasłem głównym, które nie było przechowywane przez LastPass i dlatego nie zostało skradzione w tym samym czasie .
Oszuści nadal muszą najpierw złamać te hasła główne, co może zająć tygodnie, lata, dekady lub nawet dłużej w przypadku każdego użytkownika, w zależności od tego, jak mądrze wybrano te hasła.
Złe wybory, np 123456
i iloveyou
prawdopodobnie były dudnione w ciągu pierwszych kilku godzin od pęknięcia, ale mniej przewidywalne kombinacje, takie jak DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
prawie na pewno wytrzyma znacznie dłużej, niż zmiana haseł w skarbcu.
Ale jeśli LifeLock właśnie doznał naruszenia, a firma ostrzega, że ktoś inny znał już hasła do kont niektórych użytkowników, a być może także hasło główne do wszystkich innych haseł…
… czy to nie jest dużo gorsze?
Czy te hasła zostały już w jakiś sposób złamane?
Inny rodzaj naruszenia
Dobrą wiadomością jest to, że ten przypadek wydaje się być zupełnie innym rodzajem „naruszenia”, prawdopodobnie spowodowanego ryzykowną praktyką używania tego samego hasła do kilku różnych usług online w celu przyspieszenia logowania do często używanych witryn. i łatwiejsze.
Natychmiast po wczesnej radzie LifeLock, aby zmienić hasło, firma sugeruje, że:
[B]począwszy od 2022 nieupoważniona osoba trzecia użyła listy nazw użytkowników i haseł uzyskanych z innego źródła, takiego jak ciemna sieć, aby spróbować zalogować się na konta klientów Norton. Nasze własne systemy nie zostały naruszone. Jesteśmy jednak głęboko przekonani, że nieupoważniona osoba trzecia zna i wykorzystała Twoją nazwę użytkownika i hasło do Twojego konta.
Problem z używaniem tego samego hasła na wielu różnych kontach jest oczywisty – jeśli jedno z twoich kont zostanie przejęte, wszystkie twoje konta również zostaną przejęte, ponieważ to jedno skradzione hasło działa jak klucz szkieletowy do innych zaangażowanych usług .
Wyjaśnienie upychania poświadczeń
W rzeczywistości proces sprawdzania, czy jedno skradzione hasło działa na wielu kontach, jest tak popularny wśród cyberprzestępców (i tak łatwo można go zautomatyzować), że ma nawet specjalną nazwę: nadziewanie poświadczeń.
Jeśli przestępca internetowy odgadnie, kupi w ciemnej sieci, ukradnie lub wyłudzi hasło do dowolnego konta, z którego korzystasz, nawet tak niskiego poziomu, jak lokalna witryna z wiadomościami lub klub sportowy, niemal natychmiast wypróbuje to samo hasło na inne prawdopodobne konta w Twoim imieniu.
Mówiąc najprościej, atakujący biorą twoją nazwę użytkownika, łączą ją z hasłem, które już znają, i rzeczy tych kwalifikacje wejść na strony logowania tylu popularnych serwisów, ilu im przyjdzie do głowy.
W dzisiejszych czasach wiele usług lubi używać Twojego adresu e-mail jako nazwy użytkownika, co czyni ten proces jeszcze bardziej przewidywalnym dla Złych.
Nawiasem mówiąc, używanie jednego, trudnego do odgadnięcia hasła i dodawanie modyfikacji dla różnych kont też niewiele pomaga.
W tym miejscu próbujesz stworzyć fałszywą „złożoność”, zaczynając od wspólnego komponentu is skomplikowane, np Xo3LCZ6DD4+aY
, a następnie dodanie nieskomplikowanych modyfikatorów, takich jak -fb
na Facebooku, -tw
na Twitterze i -tt
dla Tik Toka.
Hasła, które różnią się nawet o jeden znak, zakończą się zupełnie innym zaszyfrowanym skrótem hasła, więc skradzione bazy danych skrótów haseł nie powiedzą nic o tym, jak podobne są różne wybory haseł…
… ale ataki upychania danych uwierzytelniających są stosowane, gdy atakujący znają już tekst jawny twojego hasła, dlatego ważne jest, aby nie zamieniać każdego hasła w poręczną wskazówkę dla wszystkich pozostałych.
Typowe sposoby, w jakie niezaszyfrowane hasła wpadają w ręce przestępców, to:
- Ataki phishingowe, gdzie nieumyślnie wpisujesz właściwe hasło na niewłaściwej stronie, więc zostaje ono wysłane bezpośrednio do przestępców zamiast do usługi, w której faktycznie zamierzałeś się zalogować.
- Oprogramowanie szpiegujące Keyloggera, złośliwe oprogramowanie, które celowo rejestruje surowe naciśnięcia klawiszy w przeglądarce lub w innych aplikacjach na laptopie lub telefonie.
- Słaba higiena logowania po stronie serwera, gdzie przestępcy, którzy włamują się do usługi online, odkrywają, że firma przypadkowo rejestrowała hasła w postaci zwykłego tekstu na dysku, zamiast przechowywać je tylko tymczasowo w pamięci.
- Złośliwe oprogramowanie do skrobania pamięci RAM, który działa na zaatakowanych serwerach, aby uważać na prawdopodobne wzorce danych, które pojawiają się tymczasowo w pamięci, takie jak dane kart kredytowych, numery identyfikacyjne i hasła.
Nie obwiniasz ofiar?
Chociaż wygląda na to, że sam LifeLock nie został naruszony, w konwencjonalnym sensie cyberprzestępcy włamują się do własnych sieci firmy i niejako szpiegują dane od wewnątrz…
... widzieliśmy krytykę tego, jak potraktowano ten incydent.
Aby być uczciwym, dostawcy cyberbezpieczeństwa nie zawsze mogą powstrzymać swoich klientów przed „zrobieniem niewłaściwej rzeczy” (na przykład w przypadku produktów Sophos dokładamy wszelkich starań, aby ostrzec Cię na ekranie, jasno i odważnie, jeśli wybierzesz ustawienia konfiguracji, które są bardziej ryzykowne niż zalecamy, ale nie możemy zmusić Cię do zaakceptowania naszej rady).
Warto zauważyć, że usługa online nie może łatwo powstrzymać użytkownika przed ustawieniem dokładnie tego samego hasła w innych witrynach — choćby dlatego, że musiałaby w tym celu współpracować z innymi witrynami lub przeprowadzić własne testy upychania danych uwierzytelniających, naruszając w ten sposób świętość twojego hasła.
Niemniej jednak niektórzy krytycy sugerowali, że LifeLock mógł wykryć te masowe ataki polegające na fałszowaniu haseł szybciej niż to zrobił, być może wykrywając nietypowy wzorzec prób logowania, prawdopodobnie w tym wiele, które się nie powiodły, ponieważ przynajmniej niektórzy skompromitowani użytkownicy nie używali ponownie haseł lub dlatego, że baza danych skradzionych haseł była nieprecyzyjna lub nieaktualna.
Krytycy ci zauważają, że upłynęło 12 dni między rozpoczęciem fałszywych prób logowania a wykryciem przez firmę anomalii (2022-12-01 do 2022-12-12), a kolejne 10 dni między pierwszym zauważeniem problemu a ustaleniem, że problem był prawie na pewno przyczyną były naruszone dane pozyskane z innego źródła niż własne sieci firmy.
Inni zastanawiali się, dlaczego firma czekała do Nowego Roku 2023 (2022 do 12) z wysłaniem powiadomienia o „naruszeniu” do dotkniętych użytkowników, skoro była świadoma prób masowego upychania haseł przed Bożym Narodzeniem 12.
Nie będziemy próbować zgadywać, czy firma mogła zareagować szybciej, ale warto pamiętać – na wypadek, gdyby Ci się to kiedykolwiek przytrafiło – że ustalenie wszystkich istotnych faktów po otrzymaniu roszczeń o „naruszenie” może być gigantyczne przedsiębiorstwo.
Irytujące, a być może ironiczne, odkrycie, że zostałeś bezpośrednio naruszony przez tzw aktywnych przeciwników jest często przygnębiająco łatwe.
Każdy, kto widział setki komputerów jednocześnie wyświetlających wiadomość szantażującą ransomware żądającą tysięcy lub milionów dolarów w kryptowalutach, z przykrością to potwierdzi.
Ale dowiedzieć się, co cyberprzestępcy zdecydowanie nie zrobił do Twojej sieci, co w gruncie rzeczy okazuje się negatywne, jest często czasochłonnym ćwiczeniem, przynajmniej jeśli chcesz to zrobić naukowo iz wystarczającą dokładnością, aby przekonać siebie, swoich klientów i organy regulacyjne.
Co robić?
Jeśli chodzi o obwinianie ofiar, to jednak ważne jest, aby zauważyć, że o ile nam wiadomo, LifeLock ani żadne inne usługi, w których hasła zostały ponownie wykorzystane, nie mogą teraz zrobić samodzielnie, aby naprawić podstawową przyczynę ten problem.
Innymi słowy, jeśli oszuści dostaną się na twoje konta w odpowiednio zabezpieczonych usługach P, Q i R tylko dlatego, że odkryli, że użyłeś tego samego hasła w mniej bezpiecznej witrynie S, te bardziej bezpieczne witryny nie mogą powstrzymać cię przed podjęciem ten sam rodzaj ryzyka w przyszłości.
Tak więc nasze bezpośrednie wskazówki to:
- Jeśli masz zwyczaj ponownego używania haseł, nie rób tego więcej! Ten incydent jest tylko jednym z wielu w historii, które zwracają uwagę na związane z tym niebezpieczeństwa. Pamiętaj, że to ostrzeżenie o używaniu innego hasła do każdego konta dotyczy wszystkich, nie tylko klientów LifeLock.
- Nie używaj powiązanych haseł w różnych witrynach. Złożony rdzeń hasła w połączeniu z łatwym do zapamiętania sufiksem, unikalnym dla każdej witryny, dosłownie daje inne hasło w każdej witrynie. Niemniej jednak takie zachowanie pozostawia oczywisty wzorzec, który oszuści prawdopodobnie odkryją, nawet na podstawie pojedynczej próbki zhakowanego hasła. Ta „sztuczka” po prostu daje fałszywe poczucie bezpieczeństwa.
- Jeśli otrzymałeś powiadomienie od LifeLock, postępuj zgodnie ze wskazówkami zawartymi w liście. Możliwe, że niektórzy użytkownicy mogą otrzymywać powiadomienia z powodu nietypowych logowań, które mimo wszystko były uzasadnione (np. podczas wakacji), ale mimo to przeczytaj je uważnie.
- Rozważ włączenie 2FA dla dowolnych kont. Firma LifeLock sama zaleca 2FA (uwierzytelnianie dwuskładnikowe) dla kont Norton i dla wszystkich kont, na których obsługiwane jest logowanie dwuskładnikowe. Zgadzamy się, ponieważ same skradzione hasła są znacznie mniej przydatne dla atakujących, jeśli masz również 2FA na ich drodze. Zrób to niezależnie od tego, czy jesteś klientem LifeLock, czy nie.
Być może trafimy jeszcze do cyfrowego świata bez haseł – wiele serwisów internetowych już próbuje podążać w tym kierunku, rozważając przejście wyłącznie na inne sposoby sprawdzania tożsamości online, takie jak używanie specjalnych tokenów sprzętowych lub wykonywanie pomiarów biometrycznych zamiast.
Ale hasła są z nami już od ponad pół wieku, więc podejrzewamy, że będą z nami jeszcze przez wiele lat, do niektórych lub wielu, jeśli nie wszystkich, naszych kont internetowych.
Chociaż nadal mamy problem z hasłami, podejmijmy zdecydowany wysiłek, aby używać ich w sposób, który w jak najmniejszym stopniu pomaga cyberprzestępcom.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- Zdolny
- O nas
- bezwzględny
- Akceptuj
- Konto
- Konta
- precyzja
- nabyty
- w poprzek
- Dzieje Apostolskie
- faktycznie
- adres
- Rada
- Po
- Wszystkie kategorie
- już
- zawsze
- i
- ogłosił
- Inne
- zjawić się
- mobilne i webowe
- Archiwum
- na około
- Ataki
- próbę
- Próby
- Uwaga
- adwokat
- Uwierzytelnianie
- autor
- samochód
- zautomatyzowane
- background-image
- Łazienka
- bo
- zanim
- uwierzyć
- BEST
- pomiędzy
- biometryczny
- Bit
- Szantaż
- Obwinianie
- granica
- Dolny
- naruszenie
- przerwa
- Przełamując
- przeglądarka
- Kupuje
- karta
- ostrożnie
- walizka
- Spowodować
- powodowany
- Centrum
- Wiek
- na pewno
- zmiana
- charakter
- kontrola
- wybory
- Dodaj
- wybrany
- Boże Narodzenie
- roszczenia
- klub
- kolor
- kombinacje
- połączyć
- połączony
- wspólny
- sukcesy firma
- Firma
- kompleks
- skomplikowane
- składnik
- Zagrożone
- komputery
- Prowadzenie
- systemu
- zawiera
- ciągły
- Konwencjonalny
- przekonać
- mógłby
- pokrywa
- pęknięcie
- Stwórz
- POŚWIADCZENIE
- kredyt
- Karta kredytowa
- Karny
- przestępcy
- krytyka
- Krytycy
- klient
- dane klienta
- Klientów
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Niebezpieczeństwa
- Ciemny
- Mroczny WWW
- dane
- naruszenie danych
- Baza danych
- Bazy danych
- Dni
- lat
- wymagający
- W zależności
- detale
- Wykrywanie
- ustalona
- określaniu
- ZROBIŁ
- różne
- cyfrowy
- cyfrowy świat
- kierować
- kierunek
- bezpośrednio
- odkryj
- odkryty
- Wyświetlacz
- Nie
- dolarów
- nie
- na dół
- każdy
- Wcześnie
- łatwiej
- z łatwością
- wysiłek
- bądź
- gdzie indziej
- szyfrowane
- istotnie
- Parzyste
- EVER
- wszyscy
- dokładnie
- przykład
- wyłącznie
- Ćwiczenie
- Failed
- sprawiedliwy
- imitacja
- Spadać
- kilka
- Postać
- znalezieniu
- i terminów, a
- Fix
- obserwuj
- następujący sposób
- wytrzymałość
- na szczęście
- od
- dalej
- przyszłość
- gra
- Gen
- otrzymać
- Dać
- daje
- Go
- będzie
- dobry
- Pół
- siła robocza
- poręczny
- się
- dzieje
- sprzęt komputerowy
- haszysz
- wysokość
- pomoc
- tutaj
- historia
- przytrzymaj
- GODZINY
- unosić
- W jaki sposób
- Jednak
- HTTPS
- Setki
- tożsamość
- Natychmiastowy
- natychmiast
- in
- incydent
- zawierać
- Włącznie z
- Informacja
- zamiast
- zaangażowany
- Ironicznie
- problem
- IT
- samo
- tylko jeden
- konserwacja
- Klawisz
- Wiedzieć
- wiedza
- laptopa
- LastPass
- list
- poziom
- Prawdopodobnie
- Lista
- mało
- miejscowy
- dłużej
- poszukuje
- WYGLĄD
- robić
- WYKONUJE
- malware
- i konserwacjami
- kierownik
- wiele
- Margines
- mistrz
- Maksymalna szerokość
- Pomiary
- Pamięć
- może
- miliony
- Modyfikacje
- Miesiąc
- jeszcze
- ruch
- wielokrotność
- Nazwa
- Potrzebować
- ujemny
- sieć
- sieci
- Niemniej jednak
- Nowości
- nowy rok
- aktualności
- normalna
- powiadomienie
- Powiadomienia
- z naszej
- uzyskane
- oczywista
- ONE
- Online
- otwarcie
- zamówienie
- Inne
- Pozostałe
- własny
- własność
- przyjęcie
- Hasło
- Zarządzanie hasłami
- Password Manager
- hasła
- Wzór
- wzory
- Paweł
- może
- osobisty
- telefon
- plato
- Analiza danych Platona
- PlatoDane
- Proszę
- Popularny
- position
- możliwy
- Wiadomości
- potencjalnie
- praktyka
- Możliwy do przewidzenia
- bardzo
- zapobiec
- prawdopodobnie
- Problem
- wygląda tak
- Produkty
- chroniony
- ochrona
- położyć
- szybciej
- szybko
- ransomware
- Surowy
- Czytaj
- otrzymać
- Odebrane
- niedawno
- polecić
- zaleca
- dokumentacja
- Regulatory
- związane z
- pamiętać
- pamiętając
- Ryzyko
- ryzykowny
- taki sam
- bezpieczeństwo
- wydaje
- rozsądek
- poważny
- Serwery
- usługa
- Usługi
- ustawienie
- w panelu ustawień
- kilka
- podobny
- po prostu
- jednocześnie
- pojedynczy
- witryna internetowa
- Witryny
- IGMP
- So
- Tworzenie
- solidny
- kilka
- Ktoś
- coś
- Źródło
- Mówiąc
- specjalny
- SPORTOWE
- spyware
- Startowy
- rozpocznie
- kradnie
- trzon
- Nadal
- skradziony
- Stop
- przechowywany
- Historia
- bezpośredni
- strongly
- farsz
- taki
- wystarczający
- Wskazuje
- Utrzymany
- SVG
- systemy
- Brać
- biorąc
- Zadanie
- Technologia
- Testowanie
- Testy
- Połączenia
- ich
- w związku z tym
- Trzeci
- tysiące
- Przez
- TIK Tok
- czas
- czasochłonne
- wskazówki
- Tytuł
- do
- Żetony
- Top
- CAŁKOWICIE
- przejście
- przezroczysty
- Obrócenie
- i twitterze
- dla
- wyjątkowy
- URL
- us
- posługiwać się
- Użytkownik
- Użytkownicy
- wykorzystany
- wakacje
- Sklepienie
- sprzedawców
- Vermont
- Ofiary
- Naruszać
- istotny
- ostrzeżenie
- Oglądaj
- sposoby
- sieć
- Strona internetowa
- tygodni
- znane
- Co
- czy
- który
- Podczas
- KIM
- będzie
- w ciągu
- bez
- słowa
- działa
- świat
- wartość
- by
- pisanie
- Źle
- rok
- lat
- You
- Twój
- siebie
- zefirnet