V začetku tega meseca je spletna storitev za zaščito identitete NortonLifeLock v lasti tehnološkega podjetja Gen Digital s sedežem v Arizoni poslala varnostno opozorilo številnim svojim strankam.
Opozorilno pismo si lahko ogledate na spletu, na primer na spletni strani Urad državnega tožilca Vermonta, kjer se pojavi pod naslovom NortonLifeLock – Gen Obvestilo o kršitvi digitalnih podatkov za potrošnike.
Pismo se začne s strašno zvenečim pozdravom, ki pravi:
Pišemo vam, da vas obvestimo o incidentu, ki vključuje vaše osebne podatke.
Nadaljuje se takole:
[Naši sistemi za zaznavanje vdorov] so nas opozorili, da nepooblaščena oseba verjetno pozna e-pošto in geslo, ki ju uporabljate s svojim računom Norton […] in vašim Norton Password Managerjem. Priporočamo, da takoj spremenite svoja gesla pri nas in drugje.
Kar zadeva uvodne odstavke, je ta precej preprost in vsebuje nezapletene, čeprav potencialno zamudne nasvete: kdo drug kot vi verjetno pozna geslo vašega računa Norton; morda so lahko pokukali tudi v vašega upravitelja gesel; prosim spremenite vsa gesla čim prej.
Kaj se je zgodilo tukaj?
Toda kaj se je tu dejansko zgodilo in ali je šlo za kršitev v konvencionalnem smislu?
Navsezadnje je LastPass, še eno dobro znano ime v igri za upravljanje gesel, nedavno objavil, da ni bil deležen samo vdora v omrežje, ampak tudi, da so podatki o strankah, vključno s šifriranimi gesli, je bil ukraden.
V primeru LastPass na srečo ukradena gesla napadalcem niso bila v neposredno in takojšnjo uporabo, ker je bil trezor gesel vsakega uporabnika zaščiten z glavnim geslom, ki ga LastPass ni shranil in zato ni bilo ukradeno hkrati .
Prevaranti morajo še vedno najprej razbiti ta glavna gesla, naloga, ki lahko za vsakega uporabnika traja tedne, leta, desetletja ali celo dlje, odvisno od tega, kako modro so bila ta gesla izbrana.
Slabe izbire, kot npr 123456
in iloveyou
so se verjetno pojavile v prvih nekaj urah pokanja, manj predvidljive kombinacije, kot npr DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
bo skoraj zagotovo zdržalo veliko dlje, kot bi trajalo spreminjanje gesel v vašem trezorju.
Toda če je LifeLock pravkar utrpel kršitev in podjetje opozarja, da je nekdo drug že poznal gesla nekaterih uporabniških računov in morda tudi glavno geslo za vsa njihova druga gesla ...
...ali ni to veliko slabše?
Ali so ta gesla že nekako razbili?
Drugačna vrsta kršitve
Dobra novica je, da se zdi, da gre v tem primeru za precej drugačno "kršitev", ki jo je verjetno povzročila tvegana praksa uporabe istega gesla za več različnih spletnih storitev, da bi bila prijava na vaša pogosto uporabljena spletna mesta nekoliko hitrejša. in lažje.
Takoj po zgodnjem nasvetu LifeLocka, da greste in spremenite svoja gesla, podjetje predlaga, da:
[B]približno 2022. februarja 12 je nepooblaščena tretja oseba uporabila seznam uporabniških imen in gesel, pridobljenih iz drugega vira, kot je temni splet, da bi se poskušala prijaviti v račune strank Norton. Naši sistemi niso bili ogroženi. Vendar smo trdno prepričani, da nepooblaščena tretja oseba pozna in uporabi vaše uporabniško ime in geslo za vaš račun.
Težava pri uporabi istega gesla za več različnih računov je očitna – če je kateri od vaših računov ogrožen, so vsi vaši računi tako dobri, kot da so ogroženi, saj to eno ukradeno geslo deluje kot okostni ključ za druge vpletene storitve. .
Razloženo polnjenje poverilnic
Pravzaprav je postopek testiranja, ali eno ukradeno geslo deluje v več računih, tako priljubljen med spletnimi prevaranti (in je tako enostavno avtomatiziran), da ima celo posebno ime: poverilnice.
Če spletni kriminalec ugiba, kupi v temnem spletu, ukrade ali lažno prevara geslo za kateri koli račun, ki ga uporabljate, tudi za tako nizko raven, kot je vaše lokalno spletno mesto z novicami ali vaš športni klub, bo skoraj takoj poskusil isto geslo na druge verjetne račune na vaše ime.
Preprosto povedano, napadalci vzamejo vaše uporabniško ime, ga združijo z geslom, ki ga že poznajo, in stvari tisti, poverilnice na prijavne strani čim več priljubljenih storitev, ki si jih lahko zamislijo.
Številne storitve danes radi uporabljajo vaš e-poštni naslov kot uporabniško ime, zaradi česar je ta postopek še bolj predvidljiv za negativce.
Mimogrede, uporaba enega samega gesla, ki ga je težko uganiti, in dodajanje sprememb za različne račune prav tako ne pomaga veliko.
Tu poskušate ustvariti lažno "kompleksnost", tako da začnete s skupno komponento, ki is zapleteno, kot npr Xo3LCZ6DD4+aY
, in nato dodajanje nezapletenih modifikatorjev, kot je npr -fb
za Facebook, -tw
za Twitter in -tt
za Tik Tok.
Gesla, ki se razlikujejo celo za en sam znak, bodo na koncu dobila povsem drugačno kodirano zgoščeno vrednost gesla, tako da vam ukradene zbirke podatkov o zgoščeni vrednosti gesel ne bodo povedale ničesar o tem, kako podobne so različne izbire gesel ...
...vendar se napadi s polnenjem poverilnic uporabljajo, kadar napadalci že poznajo odprto besedilo vašega gesla, zato je ključnega pomena, da ne spremenite vsakega gesla v priročen namig za vse ostale.
Pogosti načini, kako nešifrirana gesla padejo v roke kriminalcev, vključujejo:
- Lažni napadi, kjer nehote vtipkate pravo geslo na napačno spletno mesto, tako da je poslano neposredno kriminalcem namesto storitvi, v katero ste se dejansko nameravali prijaviti.
- vohunska programska oprema Keylogger, zlonamerna programska oprema, ki namerno beleži neobdelane pritiske tipk, ki jih vnašate v brskalnik ali druge aplikacije na prenosnem računalniku ali telefonu.
- Slaba higiena beleženja na strani strežnika, kjer kriminalci, ki vdrejo v spletno storitev, odkrijejo, da je podjetje pomotoma beležilo gola gesla na disk, namesto da bi jih le začasno hranilo v pomnilniku.
- zlonamerna programska oprema za strganje RAM-a, ki deluje na ogroženih strežnikih, da pazi na verjetne vzorce podatkov, ki se začasno pojavijo v pomnilniku, kot so podatki o kreditni kartici, ID številke in gesla.
Ali ne krivite žrtev?
Čeprav je videti, kot da sam LifeLock ni bil vlomljen, v običajnem smislu, ko kibernetski kriminalci vdrejo v lastna omrežja podjetja in vohljajo za podatki od znotraj, tako rekoč ...
... videli smo nekaj kritik o tem, kako so obravnavali ta incident.
Po pravici povedano, prodajalci kibernetske varnosti svojim strankam ne morejo vedno preprečiti, da bi naredili napačno stvar (v izdelkih Sophos se na primer potrudimo, da vas opozorimo na zaslonu, svetlo in drzno, če izberete konfiguracijske nastavitve, bolj tvegano, kot priporočamo, vendar vas ne moremo prisiliti, da sprejmete naš nasvet).
Predvsem vam spletna storitev ne more zlahka preprečiti, da bi na drugih spletnih mestih nastavili popolnoma enaka gesla – nenazadnje zato, ker bi se morala za to dogovarjati s temi drugimi spletnimi mesti ali izvajati lastne teste polnjenja poverilnic, s čimer bi kršila svetost vašega gesla.
Kljub temu so nekateri kritiki menili, da bi lahko LifeLock opazil te množične napade s polnjenjem gesel hitreje kot jih je, morda z zaznavanjem nenavadnega vzorca poskusov prijave, verjetno vključno s številnimi, ki niso uspeli, ker vsaj nekateri ogroženi uporabniki niso ponovno uporabljali gesel ali ker je bila baza ukradenih gesel nenatančna ali zastarela.
Ti kritiki ugotavljajo, da je preteklo 12 dni od začetka lažnih poskusov prijave do trenutka, ko je podjetje opazilo anomalijo (2022-12-01 do 2022-12-12), in nadaljnjih 10 dni, odkar so prvič opazili težavo in ugotovili, da je težava skoraj zagotovo vse do vdrenih podatkov, pridobljenih iz nekega drugega vira in ne iz lastnih omrežij podjetja.
Drugi so se spraševali, zakaj je podjetje čakalo do novega leta 2023 (2022-12-12 do 2023-01-09), da je prizadetim uporabnikom poslalo obvestilo o "kršitvi", če je bilo seznanjeno s poskusi množičnega polnjenja gesel pred božičem 2022.
Ne bomo poskušali ugibati, ali bi se podjetje lahko odzvalo hitreje, vendar si je vredno zapomniti – če se vam to kdaj zgodi –, da je ugotavljanje vseh bistvenih dejstev po tem, ko prejmete trditve o »kršitvi«, lahko ogromno. podjetje.
Nadležno in morda ironično ugotovitev, da ste bili neposredno kršeni s t.i aktivnih nasprotnikov je pogosto depresivno enostavno.
Vsakdo, ki je videl stotine računalnikov, ki sočasno prikazujejo izsiljevalsko obvestilo z izsiljevalsko programsko opremo neposredno v vaš obraz, ki zahteva na tisoče ali milijone dolarjev v kriptovalutah, bo to žal potrdil.
Ampak ugotoviti, kaj cybercrooks zagotovo ni naredil v vaše omrežje, ki se v bistvu izkaže za negativno, je pogosto zamudna vaja, vsaj če jo želite izvesti znanstveno in z zadostno stopnjo natančnosti, da prepričate sebe, svoje stranke in regulatorje.
Kaj storiti?
Kar zadeva obtoževanje žrtev, je kljub temu bistveno opozoriti, da kolikor vemo, LifeLock ali katera koli druga storitev, pri kateri so bila gesla ponovno uporabljena, zdaj ne more storiti ničesar, da bi odpravila temeljni vzrok za ta problem.
Z drugimi besedami, če prevaranti vdrejo v vaše račune na spodobno varnih storitvah P, Q in R preprosto zato, ker so odkrili, da ste uporabili isto geslo na ne preveč varnem mestu S, vam ta bolj varna mesta ne morejo preprečiti, da bi prevzeli enako tveganje v prihodnosti.
Torej, naši takojšnji nasveti so:
- Če imate navado ponovne uporabe gesel, tega ne počnite več! Ta incident je le eden od mnogih v zgodovini, ki opozarjajo na nevarnosti, ki so povezane. Ne pozabite, da to opozorilo o uporabi drugačnega gesla za vsak račun velja za vse, ne samo za stranke LifeLock.
- Ne uporabljajte povezanih gesel na različnih spletnih mestih. Zapleteno steblo gesla v kombinaciji s pripono, ki si jo je enostavno zapomniti in je edinstvena za vsako spletno mesto, vam bo, dobesedno povedano, dalo drugačno geslo za vsako spletno mesto. Toda to vedenje kljub temu pušča očiten vzorec, ki ga bodo sleparji verjetno ugotovili, tudi iz enega samega ogroženega vzorca gesla. Ta "trik" vam samo daje lažen občutek varnosti.
- Če ste prejeli obvestilo LifeLocka, upoštevajte nasvet v pismu. Možno je, da nekateri uporabniki prejmejo obvestila zaradi neobičajnih prijav, ki pa so bile kljub temu zakonite (npr. med dopustom), vendar pa vseeno pozorno preberite.
- Razmislite o vklopu 2FA za vse račune, ki jih lahko. LifeLock sam priporoča 2FA (dvofaktorsko preverjanje pristnosti) za račune Norton in za vse račune, kjer so podprte dvofaktorske prijave. Strinjamo se, saj so ukradena gesla sama po sebi veliko manj koristna za napadalce, če imate tudi 2FA na njihovi poti. To storite ne glede na to, ali ste stranka LifeLocka ali ne.
Morda bomo še vedno končali v digitalnem svetu brez kakršnih koli gesel – številne spletne storitve se že poskušajo premakniti v to smer in si prizadevajo za prehod izključno na druge načine preverjanja vaše spletne identitete, kot je uporaba posebnih žetonov strojne opreme ali izvajanje biometričnih meritev. namesto tega.
Toda gesla so z nami že več kot pol stoletja, zato sumimo, da bodo z nami še mnogo let, za nekatere ali številne, če ne več, naše spletne račune.
Medtem ko smo še vedno obtičali z gesli, si odločno prizadevajmo, da jih uporabljamo na način, ki čim manj pomaga kibernetskim kriminalcem.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- Sposobna
- O meni
- absolutna
- Sprejmi
- Račun
- računi
- natančnost
- pridobljenih
- čez
- aktov
- dejansko
- Naslov
- nasveti
- po
- vsi
- že
- vedno
- in
- razglasitve
- Še ena
- zdi
- aplikacije
- Arhiv
- okoli
- Napadi
- poskus
- Poskusi
- pozornosti
- odvetnik
- Preverjanje pristnosti
- Avtor
- avto
- Avtomatizirano
- ozadja, slike
- Slab
- ker
- pred
- Verjemite
- BEST
- med
- biometrična
- Bit
- Izsiljevanje
- Blaming
- meja
- Bottom
- kršitev
- Break
- Breaking
- brskalnik
- Kupi
- kartice
- previdno
- primeru
- Vzrok
- povzročilo
- center
- Stoletje
- Zagotovo
- spremenite
- značaja
- preverjanje
- možnosti
- Izberite
- izbran
- Božič
- terjatve
- klub
- barva
- kombinacije
- združujejo
- kombinirani
- Skupno
- podjetje
- Podjetja
- kompleksna
- zapleten
- komponenta
- Ogroženo
- računalniki
- Ravnanje
- konfiguracija
- Vsebuje
- se nadaljuje
- konvencionalne
- prepričati
- bi
- pokrov
- tresk
- ustvarjajo
- POVERILNICA
- kredit
- kreditne kartice
- kazenska
- Kriminalci
- kritika
- Kritiki
- stranka
- podatki o strankah
- Stranke, ki so
- cybercriminals
- Cybersecurity
- nevarnosti
- Temnomodra
- Dark Web
- datum
- kršitev varnosti podatkov
- Baze podatkov
- baze podatkov
- Dnevi
- desetletja
- zahtevno
- Odvisno
- Podrobnosti
- Odkrivanje
- določi
- določanje
- DID
- drugačen
- digitalni
- digitalni svet
- neposredna
- smer
- neposredno
- odkriti
- odkril
- zaslon
- Ne
- dolarjev
- dont
- navzdol
- vsak
- Zgodnje
- lažje
- enostavno
- prizadevanje
- bodisi
- drugje
- E-naslov
- šifriran
- v bistvu
- Tudi
- VEDNO
- vsi
- točno
- Primer
- ekskluzivno
- Vaja
- ni uspelo
- sejem
- ponaredek
- Padec
- Nekaj
- Slika
- iskanje
- prva
- fiksna
- sledi
- sledi
- moč
- Na srečo
- iz
- nadalje
- Prihodnost
- igra
- Gen
- dobili
- Daj
- daje
- Go
- dogaja
- dobro
- Pol
- roke
- priročen
- se je zgodilo
- se zgodi
- strojna oprema
- hash
- višina
- pomoč
- tukaj
- zgodovina
- držite
- URE
- hover
- Kako
- Vendar
- HTTPS
- Stotine
- identiteta
- Takojšen
- takoj
- in
- nesreča
- vključujejo
- Vključno
- Podatki
- Namesto
- vključeni
- Ironično
- vprašanje
- IT
- sam
- samo en
- vzdrževanje
- Ključne
- Vedite
- znanje
- laptop
- LastPass
- pismo
- Stopnja
- Verjeten
- Seznam
- malo
- lokalna
- več
- si
- POGLEDI
- Znamka
- IZDELA
- zlonamerna programska oprema
- upravljanje
- upravitelj
- več
- Marža
- mojster
- max širine
- meritve
- Spomin
- morda
- milijoni
- spremembe
- mesec
- več
- premikanje
- več
- Ime
- Nimate
- negativna
- mreža
- omrežij
- Kljub temu
- Novo
- novo leto
- novice
- normalno
- Obvestilo
- Obvestila
- številke
- pridobljeni
- Očitna
- ONE
- na spletu
- o odprtju
- Da
- Ostalo
- drugi
- lastne
- v lasti
- zabava
- Geslo
- Upravljanje z geslom
- vodja geslo
- gesla
- Vzorec
- vzorci
- paul
- mogoče
- Osebni
- telefon
- platon
- Platonova podatkovna inteligenca
- PlatoData
- prosim
- Popular
- Stališče
- mogoče
- Prispevkov
- potencialno
- praksa
- Predvidljivo
- precej
- preprečiti
- verjetno
- problem
- Postopek
- Izdelki
- zaščiteni
- zaščita
- dal
- hitreje
- hitro
- izsiljevalska
- Surovi
- Preberi
- prejeti
- prejetih
- Pred kratkim
- Priporočamo
- priporoča
- evidence
- Regulatorji
- povezane
- ne pozabite
- spomina
- Tveganje
- Tvegano
- Enako
- varnost
- Zdi se,
- Občutek
- resno
- Strežniki
- Storitev
- Storitve
- nastavitev
- nastavitve
- več
- Podoben
- preprosto
- hkrati
- sam
- spletna stran
- Spletna mesta
- vohljal
- So
- Software
- trdna
- nekaj
- nekdo
- Nekaj
- vir
- gledano
- posebna
- Šport
- Vohunska programska oprema
- Začetek
- začne
- ukradejo
- Stem
- Še vedno
- ukradeno
- stop
- shranjeni
- Zgodba
- naravnost
- Močno
- polnjenje
- taka
- dovolj
- Predlaga
- Podprti
- SVG
- sistemi
- Bodite
- ob
- Naloga
- Tehnologija
- Testiranje
- testi
- O
- njihove
- zato
- tretja
- tisoče
- skozi
- tik Tok
- čas
- zamudno
- nasveti
- Naslov
- do
- Boni
- vrh
- POPOLNOMA
- Prehod
- pregleden
- Obračalni
- pod
- edinstven
- URL
- us
- uporaba
- uporabnik
- Uporabniki
- uporablja
- počitnice
- Vault
- prodajalci
- Vermont
- žrtve
- Kršitev
- ključnega pomena
- opozorilo
- Watch
- načini
- web
- Spletna stran
- Weeks
- dobro znana
- Kaj
- ali
- ki
- medtem
- WHO
- bo
- v
- brez
- besede
- deluje
- svet
- vredno
- bi
- pisanje
- Napačen
- leto
- let
- Vi
- Vaša rutina za
- sami
- zefirnet