Ранее в этом месяце служба онлайн-защиты личных данных NortonLifeLock, принадлежащая технологической компании Gen Digital из Аризоны, разослала многим своим клиентам предупреждение о безопасности.
Письмо-предупреждение можно посмотреть онлайн, например, на сайте Офис генерального прокурора Вермонта, где он появляется под заголовком NortonLifeLock — Уведомление о утечке цифровых данных Gen для потребителей.
Письмо начинается с устрашающе звучащего приветствия, в котором говорится:
Мы пишем, чтобы уведомить вас об инциденте, связанном с вашей личной информацией.
Он продолжается следующим образом:
[Наши системы обнаружения вторжений] предупредили нас о том, что неавторизованная сторона, вероятно, знает адрес электронной почты и пароль, которые вы использовали для своей учетной записи Norton [...] и вашего Norton Password Manager. Мы рекомендуем вам немедленно изменить свои пароли у нас и в других местах.
Что касается вступительных абзацев, то этот довольно прост и содержит несложные, хотя и потенциально трудоемкие советы: кто-то, кроме вас, вероятно, знает пароль вашей учетной записи Norton; они могли также заглянуть в ваш менеджер паролей; пожалуйста, измените все пароли, как только сможете.
Что здесь случилось?
Но что же здесь произошло на самом деле, и было ли это нарушением в общепринятом понимании?
В конце концов, LastPass, еще одно известное имя в игре по управлению паролями, недавно объявило не только о вторжении в сеть, но и о том, что данные клиентов, включая зашифрованные пароли, был украден.
В случае с LastPass, к счастью, украденные пароли не могли быть использованы злоумышленниками напрямую и немедленно, потому что хранилище паролей каждого пользователя было защищено мастер-паролем, который не сохранялся в LastPass и, следовательно, не был украден в то же время. .
Мошенникам все еще нужно сначала взломать эти мастер-пароли, задача, которая может занять недели, годы, десятилетия или даже больше для каждого пользователя, в зависимости от того, насколько мудро были выбраны эти пароли.
Плохой выбор, например 123456
и iloveyou
были, вероятно, рассыпаны в течение первых нескольких часов после взлома, но менее предсказуемые комбинации, такие как DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
почти наверняка продержится гораздо дольше, чем потребовалось бы для смены паролей в вашем хранилище.
Но если в LifeLock только что произошел взлом, а компания предупреждает, что кто-то уже знает пароли учетных записей некоторых пользователей и, возможно, мастер-пароль для всех остальных паролей…
… не намного ли хуже?
Эти пароли уже как-то взломаны?
Другой вид нарушения
Хорошей новостью является то, что этот случай, похоже, является совершенно другим видом «нарушения», вероятно, вызванным рискованной практикой использования одного и того же пароля для нескольких разных онлайн-сервисов, чтобы немного ускорить вход на ваши часто используемые сайты. и проще.
Сразу же после того, как LifeLock дал ранний совет пойти и изменить свой пароль, компания предлагает следующее:
[B]Начиная примерно с 2022 декабря 12 года неавторизованная третья сторона использовала список имен пользователей и паролей, полученный из другого источника, например из темной сети, для попытки входа в учетные записи клиентов Norton. Наши собственные системы не были скомпрометированы. Тем не менее, мы твердо убеждены, что неавторизованная третья сторона знает и использует ваше имя пользователя и пароль для вашей учетной записи.
Проблема с использованием одного и того же пароля для нескольких разных учетных записей очевидна — если какая-либо из ваших учетных записей будет скомпрометирована, то все ваши учетные записи также будут скомпрометированы, потому что один украденный пароль действует как ключ от системы к другим задействованным службам. .
Объяснение заполнения учетных данных
На самом деле, процесс проверки того, работает ли один украденный пароль на нескольких учетных записях, настолько популярен среди киберпреступников (и так легко автоматизируется), что даже имеет специальное название: учетная информация.
Если онлайн-преступник угадывает, покупает в даркнете, крадет или подделывает пароль для любой учетной записи, которую вы используете, даже такой низкоуровневой, как ваш местный новостной сайт или ваш спортивный клуб, он почти сразу же попытается использовать тот же пароль на другие вероятные аккаунты на ваше имя.
Проще говоря, злоумышленники берут ваше имя пользователя, комбинируют его с уже известным им паролем и материал те Полномочия на страницы входа в столько популярных сервисов, сколько они могут придумать.
Многие службы в наши дни любят использовать ваш адрес электронной почты в качестве имени пользователя, что делает этот процесс еще более предсказуемым для плохих парней.
Кстати, использование единой, трудно угадываемой «основы» пароля и добавление модификаций для разных учетных записей тоже мало помогает.
Вот где вы пытаетесь создать фальшивую «сложность», начав с общего компонента, который is сложные, такие как Xo3LCZ6DD4+aY
, а затем добавление несложных модификаторов, таких как -fb
для Facebook, -tw
для твиттера и -tt
для Тик Ток.
Пароли, которые различаются даже одним символом, в конечном итоге будут иметь совершенно другой зашифрованный хэш пароля, так что украденные базы данных хэшей паролей ничего не расскажут вам о том, насколько похожи разные варианты паролей…
…но атаки с заполнением учетных данных используются, когда злоумышленники уже знают открытый текст вашего пароля, поэтому очень важно не превращать каждый пароль в удобную подсказку для всех остальных.
Распространенные способы попадания незашифрованных паролей в руки злоумышленников включают:
- Фишинговые атаки, где вы непреднамеренно вводите правильный пароль на неправильный сайт, поэтому он отправляется непосредственно преступникам, а не службе, где вы действительно намеревались войти.
- шпионское ПО кейлоггер, вредоносное программное обеспечение, которое преднамеренно записывает необработанные нажатия клавиш, которые вы вводите в браузере или в других приложениях на вашем ноутбуке или телефоне.
- Плохая гигиена ведения журнала на стороне сервера, где преступники, взламывающие онлайн-сервис, обнаруживают, что компания случайно записывает пароли в виде открытого текста на диск вместо того, чтобы временно хранить их в памяти.
- вредоносное ПО, очищающее оперативную память, который работает на скомпрометированных серверах, чтобы следить за вероятными шаблонами данных, которые временно появляются в памяти, такими как данные кредитной карты, идентификационные номера и пароли.
Разве вы не обвиняете жертв?
Хотя выглядит так, будто сам LifeLock не был взломан, в привычном понимании киберпреступников, взламывающих собственные сети компании и как бы подсматривающих за данными изнутри…
… мы видели некоторую критику того, как был обработан этот инцидент.
Справедливости ради следует отметить, что поставщики средств кибербезопасности не всегда могут помешать своим клиентам «делать неправильные вещи» (например, в продуктах Sophos мы делаем все возможное, чтобы предупреждать вас на экране, ярко и смело, если вы выбираете параметры конфигурации, которые рискованнее, чем мы рекомендуем, но мы не можем заставить вас принять наш совет).
Примечательно, что онлайн-служба не может легко помешать вам установить точно такой же пароль на других сайтах — не в последнюю очередь потому, что для этого ему придется вступить в сговор с этими другими сайтами или провести собственные тесты заполнения учетных данных, тем самым нарушая неприкосновенность вашего пароля.
Тем не менее, некоторые критики предположили, что LifeLock мог обнаружить эти массовые атаки с подстановкой паролей быстрее, чем это было на самом деле, возможно, за счет обнаружения необычного шаблона попыток входа в систему, предположительно включая многие неудачные попытки, потому что, по крайней мере, некоторые скомпрометированные пользователи не использовали повторно. пароли, или потому что база данных украденных паролей была неточной или устаревшей.
Эти критики отмечают, что между началом фиктивных попыток входа в систему и обнаружением компанией аномалии прошло 12 дней (с 2022 по 12), и еще 01 дней между первым обнаружением проблемы и выяснением того, что проблема была почти наверняка из-за взлома данных, полученных из какого-то другого источника, кроме собственных сетей компании.
Другие задавались вопросом, почему компания ждала до Нового 2023 года (с 2022 по 12), чтобы разослать уведомление о «взломе» пострадавшим пользователям, если ей было известно о попытках массовой подмены паролей до Рождества 12 года.
Мы не собираемся пытаться угадать, могла ли компания отреагировать быстрее, но стоит помнить — на случай, если это когда-нибудь случится с вами — что определение всех существенных фактов после того, как вы получите претензии о «нарушении», может быть гигантской задачей. обязательство.
Досадно и, возможно, по иронии судьбы, узнать, что вас напрямую взломали так называемые активные противники часто удручающе легко.
Любой, кто видел сотни компьютеров, одновременно отображающих откровенную записку с шантажом, требующую тысячи или миллионы долларов в криптомонетах, с сожалением подтвердит это.
Но выясняя, что такое киберпреступники точно не делал к вашей сети, которая, по сути, доказывает отрицательный результат, часто требует много времени, по крайней мере, если вы хотите сделать это с научной точки зрения и с достаточным уровнем точности, чтобы убедить себя, своих клиентов и регулирующие органы.
Что делать?
Что касается обвинения жертвы, тем не менее важно отметить, что, насколько нам известно, LifeLock или любые другие сервисы, в которых повторно использовались пароли, не могут сделать сейчас самостоятельно, чтобы устранить скрытую причину Эта проблема.
Другими словами, если мошенники получают доступ к вашим учетным записям на прилично защищенных сервисах P, Q и R просто потому, что они обнаружили, что вы использовали тот же пароль на не очень безопасном сайте S, эти более безопасные сайты не смогут остановить вас от взлома. такой же риск в будущем.
Итак, наши непосредственные советы:
- Если у вас есть привычка повторно использовать пароли, не делайте этого больше! Этот инцидент — лишь один из многих в истории, привлекающих внимание к сопутствующим опасностям. Помните, что это предупреждение об использовании разных паролей для каждой учетной записи относится ко всем, а не только к клиентам LifeLock.
- Не используйте связанные пароли на разных сайтах. Сложная основа пароля в сочетании с легко запоминающимся суффиксом, уникальным для каждого сайта, буквально даст вам разные пароли на каждом сайте. Но такое поведение, тем не менее, оставляет очевидную закономерность, которую мошенники, вероятно, вычислят даже по одному скомпрометированному образцу пароля. Этот «трюк» просто дает вам ложное чувство безопасности.
- Если вы получили уведомление от LifeLock, следуйте совету в письме. Возможно, что некоторые пользователи могут получать уведомления из-за необычных входов в систему, которые, тем не менее, были законными (например, когда они были в отпуске), но все равно внимательно прочитайте их.
- Рассмотрите возможность включения 2FA для любых учетных записей, которые вы можете. Сам LifeLock рекомендует 2FA (двухфакторную аутентификацию) для учетных записей Norton и для любых учетных записей, в которых поддерживается двухфакторный вход в систему. Мы согласны, потому что украденные пароли сами по себе гораздо менее полезны для злоумышленников, если у вас есть 2FA на их пути. Сделайте это независимо от того, являетесь ли вы клиентом LifeLock или нет.
Мы еще можем оказаться в цифровом мире вообще без каких-либо паролей — многие онлайн-сервисы уже пытаются двигаться в этом направлении, рассматривая переход исключительно на другие способы проверки вашей онлайн-идентификации, такие как использование специальных аппаратных токенов или проведение биометрических измерений. вместо.
Но пароли с нами уже более полувека, поэтому мы подозреваем, что они будут с нами еще много лет, для некоторых или многих, если не всех, наших онлайн-аккаунтов.
Хотя мы все еще застряли с паролями, давайте приложим решительные усилия, чтобы использовать их таким образом, чтобы как можно меньше помогать киберпреступникам.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- в состоянии
- О нас
- Absolute
- Принять
- Учетная запись
- Учетные записи
- точность
- приобретенный
- через
- акты
- на самом деле
- адрес
- совет
- После
- Все
- уже
- всегда
- и
- объявило
- Другой
- появиться
- Программы
- архив
- около
- нападки
- попытка
- попытки
- внимание
- адвокат
- Аутентификация
- автор
- автоматический
- Автоматизированный
- Фоновое изображение
- Плохой
- , так как:
- до
- верить
- ЛУЧШЕЕ
- между
- биометрический
- Немного
- Шантаж
- Обвиняющий
- граница
- Дно
- нарушение
- Ломать
- Разрыв
- браузер
- Покупает
- карта
- осторожно
- случаев
- Вызывать
- вызванный
- Центр
- века
- конечно
- изменение
- персонаж
- контроль
- выбор
- Выберите
- выбранный
- рождество
- требования
- клуб
- цвет
- комбинации
- объединять
- сочетании
- Общий
- Компания
- Компании
- комплекс
- сложный
- компонент
- Ослабленный
- компьютеры
- Проводить
- Конфигурация
- содержит
- продолжается
- обычный
- убеждать
- может
- чехол для варгана
- трещина
- Создайте
- ПОЛНОМОЧИЯ
- кредит
- кредитная карта
- Криминальное
- Преступники
- критика
- Критиков
- клиент
- данные клиентов
- Клиенты
- киберпреступники
- Информационная безопасность
- Опасности
- темно
- Dark Web
- данным
- Данные нарушения
- База данных
- базы данных
- Дней
- десятилетия
- требующий
- в зависимости
- подробнее
- обнаружение
- определены
- определения
- DID
- различный
- Интернет
- цифровой мир
- направлять
- направление
- непосредственно
- обнаружить
- открытый
- Дисплей
- не
- долларов
- Dont
- вниз
- каждый
- Рано
- легче
- легко
- усилие
- или
- в другом месте
- зашифрованный
- по существу
- Даже
- НИКОГДА
- все члены
- точно,
- пример
- исключительно
- Упражнение
- что его цель
- Oшибка
- ярмарка
- не настоящие
- Осень
- несколько
- фигура
- обнаружение
- Во-первых,
- фиксированный
- следовать
- следующим образом
- Форс-мажор
- К счастью
- от
- далее
- будущее
- игра
- Gen
- получить
- Дайте
- дает
- Go
- будет
- хорошо
- Половина
- Руки
- удобный
- произошло
- происходит
- Аппаратные средства
- хэш
- высота
- помощь
- здесь
- история
- держать
- ЧАСЫ
- зависать
- Как
- Однако
- HTTPS
- Сотни
- Личность
- немедленная
- немедленно
- in
- инцидент
- включают
- В том числе
- информация
- вместо
- вовлеченный
- Как ни странно
- вопрос
- IT
- саму трезвость
- только один
- хранение
- Основные
- Знать
- знания
- портативный компьютер
- LastPass
- письмо
- уровень
- Вероятно
- Список
- мало
- локальным
- дольше
- искать
- ВЗГЛЯДЫ
- сделать
- ДЕЛАЕТ
- вредоносных программ
- управление
- менеджер
- многих
- Маржа
- мастер
- макс-ширина
- размеры
- Память
- может быть
- миллионы
- изменения
- Месяц
- БОЛЕЕ
- двигаться
- с разными
- имя
- Необходимость
- отрицательный
- сеть
- сетей
- Тем не менее
- Новые
- Новый год
- Новости
- "обычные"
- уведомление
- Уведомления
- номера
- полученный
- Очевидный
- ONE
- онлайн
- открытие
- заказ
- Другое
- Другое
- собственный
- принадлежащих
- вечеринка
- Пароль
- Управление паролями
- Password Manager
- пароли
- шаблон
- паттеранами
- Пол
- возможно
- личного
- Телефон
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пожалуйста
- Популярное
- должность
- возможное
- Блог
- потенциально
- практика
- предсказуемый
- довольно
- предотвращать
- вероятно
- Проблема
- процесс
- Продукция
- защищенный
- защиту
- положил
- быстрее
- быстро
- вымогателей
- Сырье
- Читать
- Получать
- получила
- недавно
- рекомендовать
- рекомендует
- учет
- Регулирующие органы
- Связанный
- помнить
- помнить
- Снижение
- рискованный
- то же
- безопасность
- кажется
- смысл
- серьезный
- Серверы
- обслуживание
- Услуги
- установка
- настройки
- несколько
- аналогичный
- просто
- одновременно
- одинарной
- сайте
- Сайтов
- шпионящий
- So
- Software
- твердый
- некоторые
- Кто-то
- удалось
- Источник
- Говоря
- особый
- Спорт
- шпионских программ
- Начало
- начинается
- перехватов
- ножка
- По-прежнему
- украли
- Stop
- хранить
- История
- простой
- сильно
- начинка
- такие
- достаточный
- Предлагает
- Поддержанный
- SVG
- системы
- взять
- с
- Сложность задачи
- Технологии
- Тестирование
- тестов
- Ассоциация
- их
- следовательно
- В третьих
- тысячи
- Через
- Tik Tok
- время
- кропотливый
- Советы
- Название
- в
- Лексемы
- топ
- ПОЛНОСТЬЮ
- переход
- прозрачный
- Поворот
- под
- созданного
- URL
- us
- использование
- Информация о пользователе
- пользователей
- использовать
- отпуск
- Хранилище
- поставщики
- Vermont
- жертвы
- Нарушая
- жизненный
- предупреждение
- Смотреть
- способы
- Web
- Вебсайт
- Недели
- известный
- Что
- будь то
- , которые
- в то время как
- КТО
- будете
- в
- без
- слова
- работает
- Мир
- стоимость
- бы
- письмо
- Неправильно
- год
- лет
- Ты
- ВАШЕ
- себя
- зефирнет