Bu ayın başlarında Arizona merkezli teknoloji şirketi Gen Digital'in sahibi olduğu NortonLifeLock çevrimiçi kimlik koruma hizmeti, birçok müşterisine bir güvenlik uyarısı gönderdi.
Uyarı mektubu çevrimiçi olarak, örneğin kurumun web sitesinde görüntülenebilir. Vermont Başsavcılığı, başlığın altında göründüğü yerde NortonLifeLock – Tüketicilere Yönelik Gen Dijital Veri İhlali Bildirimi.
Mektup, kulağa korkunç gelen bir selamlamayla başlıyor:
Kişisel bilgilerinizi içeren bir olayı size bildirmek için yazıyoruz.
Şöyle devam ediyor:
[İzinsiz giriş tespit sistemlerimiz], Norton hesabınızda […] ve Norton Password Manager'ınızda kullandığınız e-posta ve şifrenin yetkisiz bir tarafın bilgisine sahip olabileceği konusunda bizi uyardı. Şifrelerinizi bizde ve başka yerlerde derhal değiştirmenizi öneririz.
Açılış paragrafları ilerledikçe, bu oldukça basittir ve karmaşık olmasa da potansiyel olarak zaman alıcı tavsiyeler içerir: sizden başka biri muhtemelen Norton hesabınızın şifresini biliyordur; şifre yöneticinize de göz atmış olabilirler; lütfen mümkün olan en kısa sürede tüm şifrelerinizi değiştirin.
Burada ne oldu?
Peki burada gerçekte ne oldu ve bu geleneksel anlamda bir ihlal miydi?
Sonuçta, şifre yönetimi oyununun bir diğer tanınmış ismi LastPass, yakın zamanda sadece ağa izinsiz giriş yapıldığını değil, aynı zamanda müşteri verilerinin de çalındığını duyurdu. şifrelenmiş şifreler dahil, çalınmıştı.
LastPass vakasında, neyse ki, çalınan şifreler saldırganların doğrudan ve anında kullanımına yaramadı çünkü her kullanıcının şifre kasası, LastPass tarafından saklanmayan ve dolayısıyla aynı anda çalınmayan bir ana şifre ile korunuyordu. .
Dolandırıcıların hâlâ ilk önce ana şifreleri kırmaları gerekiyor; bu, şifrelerin ne kadar akıllıca seçildiğine bağlı olarak her kullanıcı için haftalar, yıllar, on yıllar ve hatta daha uzun sürebilecek bir görev.
gibi kötü seçimler 123456
ve iloveyou
muhtemelen çatlamadan sonraki ilk birkaç saat içinde gürlediler, ancak aşağıdakiler gibi daha az tahmin edilebilir kombinasyonlar vardı: DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
kasanızdaki şifreleri değiştirmek için gerekenden çok daha uzun süre dayanacağı neredeyse kesindir.
Ancak LifeLock'ta bir ihlal meydana gelirse ve şirket, başka birisinin bazı kullanıcıların hesap şifrelerini ve belki de tüm diğer şifrelerinin ana şifresini zaten bildiği konusunda uyarıyorsa...
…bu çok daha kötü değil mi?
Bu şifreler zaten bir şekilde kırılmış mı?
Farklı bir ihlal
İyi haber şu ki, bu durum oldukça farklı türde bir "ihlal" gibi görünüyor; bu durum muhtemelen yaygın olarak kullandığınız sitelere giriş yapmayı biraz daha hızlı hale getirmek amacıyla aynı şifreyi birkaç farklı çevrimiçi hizmet için kullanmanın riskli uygulamasından kaynaklanıyor. ve daha kolay.
LifeLock'un şifrelerinizi değiştirmeniz yönündeki ilk tavsiyesinin hemen ardından şirket şunu öneriyor:
[B]2022 civarından itibaren, yetkisiz bir üçüncü taraf, Norton müşteri hesaplarına giriş yapmayı denemek için karanlık web gibi başka bir kaynaktan elde edilen kullanıcı adı ve şifrelerden oluşan bir liste kullanmıştı. Kendi sistemlerimizden ödün verilmedi. Ancak yetkisiz bir üçüncü tarafın kullanıcı adınızı ve şifrenizi bildiğine ve hesabınız için kullandığına kesinlikle inanıyoruz.
Aynı şifreyi birden fazla farklı hesapta kullanmanın sorunu açıktır; eğer hesaplarınızdan herhangi biri ele geçirilirse, o zaman tüm hesaplarınız da ele geçirilmiş demektir, çünkü çalınan bir şifre, ilgili diğer hizmetler için bir iskelet anahtar görevi görür. .
Kimlik bilgileri doldurma açıklaması
Aslında, çalınan bir parolanın birden fazla hesapta çalışıp çalışmadığını test etme süreci siber dolandırıcılar arasında o kadar popülerdir (ve o kadar kolay otomatikleştirilir ki), özel bir adı bile vardır: kimlik bilgisi doldurma.
Çevrimiçi bir suçlu, kullandığınız herhangi bir hesabın (yerel haber siteniz veya spor kulübünüz gibi düşük seviyeli bir hesap bile olsa) şifresini tahmin ederse, karanlık ağdan satın alır, çalarsa veya kimlik avına çıkarsa, hemen hemen aynı şifreyi internette dener. adınıza ait diğer olası hesaplar.
Basitçe söylemek gerekirse, saldırganlar kullanıcı adınızı alıp zaten bildikleri şifreyle birleştirir ve şey Bu Kimlik Bilgileri düşünebildikleri kadar çok sayıda popüler hizmetin giriş sayfalarına.
Günümüzde pek çok hizmet, e-posta adresinizi kullanıcı adı olarak kullanmayı seviyor, bu da bu süreci Kötü Adamlar için daha da öngörülebilir kılıyor.
Bu arada, tahmin edilmesi zor tek bir şifre "kökü" kullanmanın ve farklı hesaplar için değişiklikler eklemenin de pek bir faydası yok.
Ortak bir bileşenle başlayarak sahte "karmaşıklık" yaratmaya çalıştığınız yer burasıdır. is gibi karmaşık Xo3LCZ6DD4+aY
ve ardından aşağıdaki gibi karmaşık olmayan değiştiricileri ekleyin: -fb
Facebook için, -tw
Twitter için ve -tt
Tik Tok için.
Tek bir karakter bile değişen şifreler, tamamen farklı bir şifreli şifre karması ile sonuçlanacaktır, böylece çalınan şifre karmaları veritabanları, farklı şifre seçimlerinin ne kadar benzer olduğu hakkında size hiçbir şey söylemeyecektir…
…ancak kimlik bilgisi doldurma saldırıları şu durumlarda kullanılır: saldırganlar şifrenizin düz metnini zaten biliyorBu nedenle, her bir şifreyi diğerleri için kullanışlı bir ipucuna dönüştürmekten kaçınmak çok önemlidir.
Şifrelenmemiş parolaların suçluların eline geçmesinin yaygın yolları şunlardır:
- Kimlik avı saldırıları, Yanlışlıkla doğru şifreyi yanlış siteye yazdığınızda şifre, aslında oturum açmayı düşündüğünüz hizmet yerine doğrudan suçlulara gönderilir.
- Keylogger casus yazılımı, Tarayıcınıza veya dizüstü bilgisayarınızdaki veya telefonunuzdaki diğer uygulamalara yazdığınız ham tuş vuruşlarını kasıtlı olarak kaydeden kötü amaçlı yazılım.
- Kötü sunucu tarafı günlük kaydı hijyeni, Çevrimiçi bir hizmete sızan suçlular, şirketin düz metin parolalarını yalnızca geçici olarak bellekte tutmak yerine yanlışlıkla diske kaydettiğini keşfederler.
- RAM kazıma kötü amaçlı yazılım, kredi kartı bilgileri, kimlik numaraları ve şifreler gibi bellekte geçici olarak görünen olası veri kalıplarına dikkat etmek için güvenliği ihlal edilmiş sunucularda çalışır.
Kurbanları suçlamıyor musun?
LifeLock'un kendisi ihlal edilmemiş gibi görünse de, geleneksel anlamda siber suçluların şirketin kendi ağlarına girip verileri içeriden gözetlemesi anlamında...
…bu olayın nasıl ele alındığına dair bazı eleştiriler gördük.
Adil olmak gerekirse, siber güvenlik satıcıları müşterilerinin "yanlış şeyi yapmasını" her zaman engelleyemez (örneğin Sophos ürünlerinde, uygun yapılandırma ayarlarını seçerseniz sizi ekran üzerinde parlak ve cesur bir şekilde uyarmak için elimizden gelenin en iyisini yaparız.) tavsiye ettiğimizden daha risklidir ancak sizi tavsiyemizi kabul etmeye zorlayamayız).
Özellikle, çevrimiçi bir hizmet, diğer sitelerde tam olarak aynı şifreyi ayarlamanızı kolayca engelleyemez; bunun için diğer sitelerle gizli anlaşma yapması veya kendi kimlik bilgisi doldurma testlerini yapması gerekeceğinden, bu nedenle ihlal eder. şifrenizin kutsallığı.
Bununla birlikte, bazı eleştirmenler, LifeLock'un bu toplu şifre doldurma saldırılarını, belki de alışılmadık oturum açma denemeleri düzenini tespit ederek, muhtemelen en azından güvenliği ihlal edilmiş bazı kullanıcıların parolayı yeniden kullanmaması nedeniyle başarısız olan birçok girişimi de dahil ederek, olduğundan daha hızlı tespit edebileceğini ileri sürdü. parolalar veya çalınan parolaların bulunduğu veri tabanının kesin olmaması veya güncel olmaması nedeniyle.
Bu eleştirmenler, sahte giriş denemelerinin başlaması ile şirketin anormalliği tespit etmesi arasında 12 gün (2022-12-01 - 2022-12-12 arası) ve sorunun ilk fark edilmesi ile sorunun çözüldüğünün anlaşılması arasında 10 gün daha geçtiğini belirtiyorlar. neredeyse kesinlikle şirketin kendi ağları dışında başka bir kaynaktan elde edilen verilerin ihlaline bağlıdır.
Diğerleri, şirketin Noel 2023'den önce toplu şifre doldurma girişimlerinden haberdar olması durumunda, etkilenen kullanıcılara "ihlal" bildirimi göndermek için neden 2022 Yeni Yılı'na (12-12-2023 - 01-09-2022) kadar beklediğini merak etti.
Şirketin daha hızlı tepki verip veremeyeceğini tahmin etmeye çalışmayacağız, ancak şunu hatırlamakta fayda var - eğer böyle bir durum başınıza gelirse - "bir ihlal" ile ilgili iddialar aldıktan sonra tüm dikkat çekici gerçekleri belirlemenin devasa bir iş olabileceğini unutmayın. taahhüt.
Sinir bozucu ve belki de ironik bir şekilde, sözde bir kişi tarafından doğrudan ihlale uğradığınızı öğrenmek aktif düşmanlar genellikle iç karartıcı derecede kolaydır.
Yüzlerce bilgisayarın aynı anda binlerce veya milyonlarca dolarlık kripto para talep eden fidye yazılımı şantaj notunu doğrudan yüzünüze gösterdiğini gören herkes, ne yazık ki bunu doğrulayacaktır.
Ama hangi siber dolandırıcıların olduğunu bulmak kesinlikle yapmadım Esasen olumsuz olduğu kanıtlanan ağınıza, en azından bilimsel olarak ve kendinizi, müşterilerinizi ve düzenleyicileri ikna etmek için yeterli düzeyde doğrulukla yapmak istiyorsanız, genellikle zaman alıcı bir egzersizdir.
Ne yapalım?
Mağdurları suçlamaya gelince, bildiğimiz kadarıyla LifeLock'un veya şifrelerin yeniden kullanıldığı diğer hizmetlerin, mağduriyetin altında yatan nedeni düzeltmek için artık kendi başlarına yapabileceği hiçbir şey olmadığını belirtmek hayati önem taşıyor. bu sorun.
Başka bir deyişle, dolandırıcılar sırf o kadar da güvenli olmayan S sitesinde aynı şifreyi kullandığınızı keşfettikleri için yeterince güvenli olan P, Q ve R hizmetlerindeki hesaplarınıza girerse, bu daha güvenli siteler şifreyi almanızı engelleyemez. gelecekte de aynı tür risk.
O halde acil ipuçlarımız şunlardır:
- Şifreleri tekrar kullanma alışkanlığınız varsa, bunu bir daha yapmayın! Bu olay, tarihteki tehlikelere dikkat çeken pek çok olaydan sadece bir tanesi. Her hesap için farklı şifre kullanılmasına ilişkin bu uyarının yalnızca LifeLock müşterileri için değil herkes için geçerli olduğunu unutmayın.
- Farklı sitelerde ilgili şifreleri kullanmayın. Karmaşık bir şifre kökü ve her siteye özel, kolay hatırlanabilen bir son ek, kelimenin tam anlamıyla size her sitede farklı bir şifre verecektir. Ancak bu davranış yine de dolandırıcıların ele geçirilmiş tek bir şifre örneğinden bile anlayabileceği açık bir model bırakıyor. Bu "numara" size sadece sahte bir güvenlik duygusu verir.
- LifeLock'tan bir bildirim aldıysanız mektuptaki tavsiyeye uyun. Bazı kullanıcıların, yine de meşru olan (örneğin tatildeyken) olağandışı oturum açma işlemleri nedeniyle bildirimler alması, ancak yine de bunu dikkatlice okuması mümkündür.
- Yapabileceğiniz tüm hesaplar için 2FA'yı açmayı düşünün. LifeLock'un kendisi, Norton hesapları ve iki faktörlü oturum açmanın desteklendiği tüm hesaplar için 2FA'yı (iki faktörlü kimlik doğrulama) önerir. Aynı fikirdeyiz, çünkü eğer önlerinde 2FA varsa, çalınan şifreler saldırganlar için tek başına çok daha az işe yarar. LifeLock müşterisi olsanız da olmasanız da bunu yapın.
Henüz hiçbir şifrenin olmadığı dijital bir dünyaya gelebiliriz; birçok çevrimiçi hizmet zaten bu yönde ilerlemeye çalışıyor ve özel donanım belirteçleri kullanmak veya biyometrik ölçümler almak gibi yalnızca çevrimiçi kimliğinizi kontrol etmenin diğer yollarına geçmeyi düşünüyor. yerine.
Ancak şifreler yarım asırdan fazla bir süredir bizimle birlikte, bu nedenle çevrimiçi hesaplarımızın tamamı olmasa da bir kısmı veya birçoğu için daha uzun yıllar bizimle olacaklarından şüpheleniyoruz.
Hala şifrelere takılıp kalsak da, şifreleri siber suçlulara mümkün olduğunca az yardım edecek şekilde kullanmak için kararlı bir çaba gösterelim.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- Yapabilmek
- Hakkımızda
- kesin
- Kabul et
- Hesap
- Hesaplar
- doğruluk
- edinilen
- karşısında
- eylemler
- aslında
- adres
- tavsiye
- Sonra
- Türkiye
- zaten
- her zaman
- ve
- açıkladı
- Başka
- görünmek
- uygulamalar
- Arşiv
- etrafında
- saldırılar
- teşebbüs
- Denemeler
- Dikkat
- avukat
- Doğrulama
- yazar
- Oto
- Otomatik
- background-image
- Kötü
- Çünkü
- önce
- Inanmak
- İYİ
- arasında
- biyometrik
- Bit
- Şantaj
- suçlama
- sınır
- Alt
- ihlal
- mola
- Kırma
- tarayıcı
- Buys
- kart
- dikkatlice
- dava
- Sebeb olmak
- neden
- Merkez
- Yüzyıl
- kesinlikle
- değişiklik
- karakter
- denetleme
- choices
- Klinik
- seçilmiş
- Noel
- iddia
- kulüp
- renk
- kombinasyonları
- birleştirmek
- kombine
- ortak
- şirket
- Şirketin
- karmaşık
- karmaşık
- bileşen
- Uzlaşılmış
- bilgisayarlar
- Davranış
- yapılandırma
- içeren
- devam ediyor
- geleneksel
- ikna etmek
- olabilir
- kapak
- çatlak
- yaratmak
- KİMLİK
- kredi
- kredi kartı
- Ceza
- Suçlular
- eleştiri
- Eleştirmenler
- müşteri
- müşteri bilgisi
- Müşteriler
- siber suçluların
- Siber güvenlik
- tehlikeleri
- karanlık
- koyu Web
- veri
- veri ihlali
- veritabanı
- veritabanları
- Günler
- yıl
- talep
- bağlı
- ayrıntılar
- Bulma
- kararlı
- belirlenmesi
- DID
- farklı
- dijital
- dijital dünya
- direkt
- yön
- direkt olarak
- keşfetmek
- keşfetti
- ekran
- Değil
- dolar
- Dont
- aşağı
- her
- Erken
- kolay
- kolayca
- çaba
- ya
- başka yerde
- E-posta
- şifreli
- esasen
- Hatta
- hİÇ
- herkes
- kesinlikle
- örnek
- sadece
- Egzersiz
- başarısız
- adil
- sahte
- Düşmek
- az
- şekil
- bulma
- Ad
- sabit
- takip et
- şu
- Zorla
- iyi ki
- itibaren
- daha fazla
- gelecek
- oyun
- Gen
- almak
- Vermek
- verir
- Go
- gidiş
- Tercih Etmenizin
- Yarım
- Eller
- kullanışlı
- olmuş
- olur
- donanım
- esrar
- yükseklik
- yardım et
- okuyun
- tarih
- ambar
- SAAT
- duraksamak
- Ne kadar
- Ancak
- HTTPS
- Yüzlerce
- Kimlik
- Acil
- hemen
- in
- olay
- dahil
- Dahil olmak üzere
- bilgi
- yerine
- ilgili
- İronik
- konu
- IT
- kendisi
- sadece bir
- koruma
- anahtar
- Bilmek
- bilgi
- dizüstü bilgisayar
- LastPass
- mektup
- seviye
- Muhtemelen
- Liste
- küçük
- yerel
- uzun
- bakıyor
- GÖRÜNÜYOR
- yapmak
- YAPAR
- kötü amaçlı yazılım
- yönetim
- müdür
- çok
- Kenar
- usta
- maksimum genişlik
- ölçümler
- Bellek
- olabilir
- milyonlarca
- Değişiklikler
- Ay
- Daha
- hareket
- çoklu
- isim
- gerek
- negatif
- ağ
- ağlar
- yine de
- yeni
- Yılbaşı
- haber
- normal
- tebliğ
- bildirimleri
- sayılar
- elde
- Açık
- ONE
- Online
- açma
- sipariş
- Diğer
- Diğer
- kendi
- Sahip olunan
- Parti
- Şifre
- Şifre yönetimi
- parola yöneticisi
- şifreleri
- model
- desen
- Paul
- belki
- kişisel
- telefon
- Platon
- Plato Veri Zekası
- PlatoVeri
- Lütfen
- Popüler
- pozisyon
- mümkün
- Mesajlar
- potansiyel
- uygulama
- tahmin edilebilir
- güzel
- önlemek
- muhtemelen
- Sorun
- süreç
- Ürünler
- korumalı
- koruma
- koymak
- hızlı
- hızla
- fidye
- Çiğ
- Okumak
- teslim almak
- Alınan
- geçenlerde
- tavsiye etmek
- önerir
- kayıtlar
- Denetleyiciler
- ilgili
- hatırlamak
- hatırlama
- Risk
- Riskli
- aynı
- güvenlik
- görünüyor
- duyu
- ciddi
- Sunucular
- hizmet
- Hizmetler
- ayar
- ayarlar
- birkaç
- benzer
- sadece
- aynı anda
- tek
- yer
- Yer
- snooping'i
- So
- Yazılım
- katı
- biraz
- Birisi
- bir şey
- Kaynak
- konuşma
- özel
- Spor
- casus
- XNUMX dakika içinde!
- başlar
- top çalma
- kök
- Yine
- çalıntı
- dur
- saklı
- Öykü
- basit
- şiddetle
- dolma
- böyle
- yeterli
- Önerdi
- destekli
- SVG
- Sistemler
- Bizi daha iyi tanımak için
- alma
- Görev
- Teknoloji
- Test yapmak
- testleri
- The
- ve bazı Asya
- bu nedenle
- Üçüncü
- Binlerce
- İçinden
- Tik Tok
- zaman
- zaman tükeniyor
- ipuçları
- Başlık
- için
- Jeton
- üst
- TAMAMEN
- geçiş
- şeffaf
- Dönüş
- altında
- benzersiz
- URL
- us
- kullanım
- kullanıcı
- kullanıcılar
- kullanılan
- tatil
- Tonoz
- satıcıları
- Vermont
- kurbanlar
- ihlal
- hayati
- uyarı
- İzle
- yolları
- ağ
- Web sitesi
- Haftalar
- tanınmış
- Ne
- olup olmadığını
- hangi
- süre
- DSÖ
- irade
- içinde
- olmadan
- sözler
- çalışır
- Dünya
- değer
- olur
- yazı yazıyor
- Yanlış
- yıl
- yıl
- Sen
- kendiniz
- zefirnet