Раніше цього місяця служба онлайн-захисту ідентифікаційної інформації NortonLifeLock, що належить технологічній компанії Gen Digital зі штату Арізона, надіслала попередження про безпеку багатьом своїм клієнтам.
Лист-попередження можна переглянути онлайн, наприклад, на сайті Офіс генерального прокурора Вермонта, де він відображається під заголовком NortonLifeLock – Повідомлення про порушення цифрових даних Gen для споживачів.
Лист починається з жахливого привітання:
Ми пишемо, щоб повідомити вас про інцидент, пов’язаний із вашою особистою інформацією.
Він продовжується так:
[Наші системи виявлення вторгнень] попередили нас про те, що неавторизована сторона, ймовірно, знає електронну адресу та пароль, які ви використовуєте для свого облікового запису Norton […] і свого Norton Password Manager. Ми рекомендуємо негайно змінити ваші паролі у нас та в інших місцях.
Що стосується початкових абзаців, то цей досить простий і містить нескладну, але потенційно трудомістку пораду: хтось інший, крім вас, напевно знає пароль вашого облікового запису Norton; вони, можливо, також змогли зазирнути у ваш менеджер паролів; будь ласка, якомога швидше змініть усі паролі.
Що тут сталося?
Але що тут сталося насправді і чи було це порушенням у загальноприйнятому розумінні?
Зрештою, LastPass, ще одне добре відоме ім’я в грі керування паролями, нещодавно оголосило не лише про те, що воно зазнало вторгнення в мережу, але й про те, що дані клієнтів, включаючи зашифровані паролі, було вкрадено.
У випадку LastPass, на щастя, викрадені паролі не були прямою та негайною використанням для зловмисників, оскільки сховище паролів кожного користувача було захищене головним паролем, який не зберігався LastPass і тому не був викрадений одночасно .
Шахраям все ще потрібно спочатку зламати ці головні паролі, завдання, яке може зайняти тижні, роки, десятиліття або навіть більше для кожного користувача, залежно від того, наскільки мудро ці паролі було обрано.
Поганий вибір, наприклад 123456
та iloveyou
були, ймовірно, гуркіт протягом перших кількох годин після злому, але менш передбачувані комбінації, такі як DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
майже напевно протримається набагато довше, ніж знадобилося б для зміни паролів у вашому сховищі.
Але якщо LifeLock щойно зазнав злому, і компанія попереджає, що хтось уже знав паролі облікових записів деяких користувачів і, можливо, також головний пароль для всіх інших їхніх паролів…
… це не набагато гірше?
Ці паролі вже якось зламано?
Інший вид порушення
Хороша новина полягає в тому, що цей випадок, схоже, зовсім інший вид «порушення», ймовірно, спричинений ризикованою практикою використання одного пароля для кількох різних онлайн-сервісів, щоб трохи пришвидшити вхід на часто використовувані сайти. і легше.
Одразу після першої поради LifeLock піти та змінити ваші паролі, компанія пропонує:
[B]починаючи приблизно з 2022 грудня 12 року неавторизована третя сторона використовувала список імен користувачів і паролів, отриманий з іншого джерела, наприклад темної мережі, щоб спробувати ввійти в облікові записи клієнтів Norton. Наші власні системи не були скомпрометовані. Однак ми твердо переконані, що неавторизована третя сторона знає та використала ваше ім’я користувача та пароль для вашого облікового запису.
Проблема з використанням одного пароля для кількох різних облікових записів очевидна – якщо будь-який із ваших облікових записів буде зламано, усі ваші облікові записи також будуть зламані, оскільки один викрадений пароль діє як каркасний ключ для інших залучених служб. .
Пояснення щодо введення облікових даних
Фактично, процес перевірки того, чи працює один викрадений пароль для кількох облікових записів, настільки популярний серед кібершахраїв (і настільки легко автоматизований), що він навіть має спеціальну назву: начинка для довіри.
Якщо онлайн-злочинець вгадає, купує в темній мережі, краде або підманює пароль для будь-якого облікового запису, яким ви користуєтеся, навіть такого низького рівня, як ваш місцевий сайт новин або ваш спортивний клуб, він майже одразу спробує той самий пароль на інші ймовірні облікові записи на ваше ім'я.
Простіше кажучи, зловмисники беруть ваше ім’я користувача, комбінують його з паролем, який вони вже знають, і матеріал ті Повноваження на сторінки входу в стільки популярних служб, скільки вони можуть придумати.
Сьогодні багато служб люблять використовувати вашу адресу електронної пошти як ім’я користувача, що робить цей процес ще більш передбачуваним для поганих хлопців.
До речі, використання єдиного «стрижня» пароля, який важко вгадати, і додавання модифікацій для різних облікових записів також не дуже допомагає.
Саме тут ви намагаєтеся створити фальшиву «складність», починаючи зі звичайного компонента, який is складні, як напр Xo3LCZ6DD4+aY
, а потім додавання нескладних модифікаторів, таких як -fb
для Facebook, -tw
для Twitter і -tt
для Tik Tok.
Паролі, які відрізняються навіть одним символом, отримають зовсім інший кодований хеш пароля, тож викрадені бази даних хешів паролів нічого не скажуть вам про те, наскільки схожі різні паролі…
…але атаки із заповненням обліковими даними використовуються, коли зловмисники вже знають відкритий текст вашого пароля, тому важливо не перетворювати кожен пароль на зручну підказку для всіх інших.
Поширені способи потрапляння незашифрованих паролів у руки злочинців:
- Фішингові атаки, де ви ненавмисно вводите правильний пароль на неправильному сайті, тому він надсилається безпосередньо злочинцям, а не до служби, куди ви насправді збиралися ввійти.
- шпигунське програмне забезпечення для кейлоггерів, зловмисне програмне забезпечення, яке навмисно записує необроблені натискання клавіш, які ви вводите у своєму браузері або в інших програмах на вашому ноутбуці чи телефоні.
- Погана гігієна журналювання на стороні сервера, де зловмисники, які зламують онлайн-сервіс, виявляють, що компанія випадково записувала паролі в відкритому вигляді на диск замість того, щоб зберігати їх у пам’яті лише тимчасово.
- Зчитування шкідливих програм з оперативної пам’яті, який працює на скомпрометованих серверах, щоб спостерігати за ймовірними шаблонами даних, які тимчасово з’являються в пам’яті, як-от дані кредитної картки, ідентифікаційні номери та паролі.
Ви не звинувачуєте жертв?
Незважаючи на те, що виглядає так, ніби сам LifeLock не був зламаний, у традиційному розумінні кіберзлочинців, які проникають у власні мережі компанії та переглядають дані зсередини, так би мовити…
…ми бачили певну критику того, як впоралися з цим інцидентом.
Чесно кажучи, постачальники засобів кібербезпеки не завжди можуть запобігти своїм клієнтам «робити неправильні речі» (наприклад, у продуктах Sophos ми докладаємо всіх зусиль, щоб попередити вас на екрані, яскраво та сміливо, якщо ви виберете параметри конфігурації, які ризикованіше, ніж ми рекомендуємо, але ми не можемо змусити вас прийняти нашу пораду).
Примітно, що онлайн-сервіс не може легко заборонити вам установлювати точно такий самий пароль на інших сайтах – не в останню чергу тому, що для цього йому потрібно буде вступити в змову з цими іншими сайтами або провести власні тести на додавання облікових даних, таким чином порушуючи святість вашого пароля.
Тим не менш, деякі критики припустили, що LifeLock міг виявити ці масові атаки підміни паролів швидше, ніж він, можливо, шляхом виявлення незвичайної моделі спроб входу, ймовірно, включаючи багато невдалих, оскільки принаймні деякі скомпрометовані користувачі не використовували повторно паролі або тому, що база даних викрадених паролів була неточною або застарілою.
Ці критики відзначають, що минуло 12 днів між фальшивими спробами входу в систему та виявленням аномалії компанією (2022-12-01 до 2022-12-12) і ще 10 днів між тим, як уперше помітили проблему та з’ясували, що проблема майже напевно через зламані дані, отримані з іншого джерела, ніж власні мережі компанії.
Інші дивувалися, чому компанія чекала до Нового року 2023 (2022-12-12 до 2023-01-09), щоб надіслати повідомлення про «злом» постраждалим користувачам, якщо їй було відомо про масові спроби підкинути паролі до Різдва 2022.
Ми не збираємося вгадувати, чи могла б компанія відреагувати швидше, але варто пам’ятати, якщо це трапиться з вами, що визначення всіх суттєвих фактів після того, як ви отримаєте претензії про «порушення», може бути величезним. підприємство.
Прикро, і, можливо, іронічно, дізнавшись, що ви були безпосередньо порушені т.зв активні супротивники часто гнітюче легко.
Будь-хто, хто бачив, як сотні комп’ютерів одночасно демонструють шантажну записку прямо в ваше обличчя програмою-вимагачем, яка вимагає тисячі чи мільйони доларів у криптовалютах, на жаль, підтвердить це.
Але з’ясувати, що таке кібершахраї точно не робив до вашої мережі, що, по суті, є негативним, часто займає багато часу, принаймні якщо ви хочете зробити це науково та з достатнім рівнем точності, щоб переконати себе, своїх клієнтів і регулятори.
Що ж робити?
Щодо звинувачення жертви, все ж важливо зазначити, що, наскільки нам відомо, LifeLock або будь-які інші служби, де паролі використовувалися повторно, нічого не можуть зробити зараз самостійно, щоб усунути основну причину ця проблема.
Іншими словами, якщо шахраї проникають у ваші облікові записи на надійно захищених службах P, Q і R просто тому, що вони виявили, що ви використовували той самий пароль на не дуже безпечному сайті S, ці більш безпечні сайти не зможуть перешкодити вам отримати такий самий ризик у майбутньому.
Отже, наші безпосередні поради:
- Якщо ви маєте звичку повторно використовувати паролі, не робіть цього більше! Цей інцидент — лише один із багатьох в історії, які привертають увагу до пов’язаних із цим небезпек. Пам’ятайте, що це попередження щодо використання різних паролів для кожного облікового запису стосується всіх, а не лише клієнтів LifeLock.
- Не використовуйте споріднені паролі на різних сайтах. Складна основа пароля в поєднанні з суфіксом, який легко запам’ятовується, унікальним для кожного сайту, буквально кажучи, дасть вам інший пароль на кожному сайті. Але ця поведінка, тим не менш, залишає очевидну схему, яку шахраї, ймовірно, зрозуміють навіть із одного зламаного зразка пароля. Цей «трюк» просто дає вам помилкове відчуття безпеки.
- Якщо ви отримали сповіщення від LifeLock, дотримуйтесь порад у листі. Можливо, деякі користувачі можуть отримувати сповіщення через незвичні входи, які все ж були законними (наприклад, під час відпустки), але все одно уважно прочитайте це.
- Увімкніть 2FA для будь-яких облікових записів. Сам LifeLock рекомендує 2FA (двофакторну автентифікацію) для облікових записів Norton і для будь-яких облікових записів, де підтримуються двофакторні входи. Ми погоджуємося, оскільки вкрадені паролі самі по собі набагато менш корисні для зловмисників, якщо на їхньому шляху є 2FA. Робіть це незалежно від того, є ви клієнтом LifeLock чи ні.
Ми ще можемо опинитися в цифровому світі взагалі без жодних паролів – багато онлайн-сервісів уже намагаються рухатися в цьому напрямку, дивлячись на перехід виключно на інші способи перевірки вашої онлайн-ідентичності, такі як використання спеціальних апаратних маркерів або проведення біометричних вимірювань замість цього.
Але паролі були з нами вже понад півстоліття, тож ми підозрюємо, що вони залишаться з нами ще багато років, для деяких чи багатьох, якщо не для всіх, наших онлайн-акаунтів.
Хоча ми все ще застрягли з паролями, давайте докладемо рішучих зусиль, щоб використовувати їх у спосіб, який якнайменше допомагає кіберзлочинцям.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- Здатний
- МЕНЮ
- абсолют
- Прийняти
- рахунки
- Рахунки
- точність
- придбаний
- через
- акти
- насправді
- адреса
- рада
- після
- ВСІ
- вже
- завжди
- та
- оголошений
- Інший
- з'являтися
- додатка
- архів
- навколо
- нападки
- спробував
- Спроби
- увагу
- адвокат
- Authentication
- автор
- автоматичний
- Автоматизований
- фонове зображення
- поганий
- оскільки
- перед тим
- Вірити
- КРАЩЕ
- між
- біометричні
- Біт
- Шантаж
- Винен
- border
- дно
- порушення
- Перерва
- Розрив
- браузер
- Купує
- карта
- обережно
- випадок
- Викликати
- викликаний
- Центр
- Століття
- звичайно
- зміна
- характер
- контроль
- вибір
- Вибирати
- вибраний
- різдво
- претензій
- клуб
- color
- комбінації
- об'єднувати
- комбінований
- загальний
- компанія
- Компанії
- комплекс
- складний
- компонент
- Компрометація
- комп'ютери
- Проводити
- конфігурація
- містить
- триває
- звичайний
- переконати
- може
- обкладинка
- тріщина
- створювати
- ІНТЕРЕНЦІЙНИЙ
- кредит
- кредитна картка
- Кримінальну
- злочинці
- критика
- Критиків
- клієнт
- дані про клієнтів
- Клієнти
- кіберзлочинці
- Кібербезпека
- Небезпеки
- темно
- Dark Web
- дані
- Дані порушення
- Database
- базами даних
- Днів
- десятиліття
- вимогливий
- Залежно
- деталі
- Виявлення
- певний
- визначення
- DID
- різний
- цифровий
- цифровий світ
- прямий
- напрям
- безпосередньо
- відкрити
- відкритий
- дисплей
- Ні
- доларів
- Не знаю
- вниз
- кожен
- Рано
- легше
- легко
- зусилля
- або
- в іншому місці
- зашифрованих
- по суті
- Навіть
- НІКОЛИ
- все
- точно
- приклад
- виключно
- Здійснювати
- не вдалося
- ярмарок
- підроблений
- Падати
- кілька
- Рисунок
- виявлення
- Перший
- виправляти
- стежити
- слідує
- Примусово
- На щастя
- від
- далі
- майбутнє
- гра
- Gen
- отримати
- Давати
- дає
- Go
- буде
- добре
- Половина
- Руки
- мобільний
- сталося
- відбувається
- апаратні засоби
- мішанина
- висота
- допомога
- тут
- історія
- тримати
- ГОДИННИК
- hover
- Як
- Однак
- HTTPS
- Сотні
- Особистість
- Негайний
- негайно
- in
- інцидент
- включати
- У тому числі
- інформація
- замість
- залучений
- Як не дивно
- питання
- IT
- сам
- тільки один
- зберігання
- ключ
- Знати
- знання
- портативний комп'ютер
- LastPass
- лист
- рівень
- Ймовірно
- список
- трохи
- місцевий
- довше
- шукати
- ВИГЛЯДИ
- зробити
- РОБОТИ
- шкідливих програм
- управління
- менеджер
- багато
- Маржа
- майстер
- макс-ширина
- вимірювання
- пам'ять
- може бути
- мільйони
- Поправки
- місяць
- більше
- рухатися
- множинний
- ім'я
- Необхідність
- негативний
- мережу
- мереж
- проте
- Нові
- Новий рік
- новини
- нормальний
- сповіщення
- Повідомлення
- номера
- отриманий
- Очевидний
- ONE
- онлайн
- відкриття
- порядок
- Інше
- інші
- власний
- яка перебуває у власності
- партія
- Пароль
- Керування паролем
- Password Manager
- Паролі
- Викрійки
- моделі
- Пол
- може бути
- персонал
- телефон
- plato
- Інформація про дані Платона
- PlatoData
- будь ласка
- популярний
- положення
- це можливо
- Пости
- потенційно
- практика
- Передбачуваний
- досить
- запобігати
- ймовірно
- Проблема
- процес
- Продукти
- захищений
- захист
- put
- швидше
- швидко
- вимагачів
- Сировина
- Читати
- отримати
- отримано
- нещодавно
- рекомендувати
- рекомендує
- облік
- Регулятори
- пов'язаний
- запам'ятати
- пам'ятаючи
- Risk
- Ризикований
- то ж
- безпеку
- Здається,
- сенс
- серйозний
- Сервери
- обслуговування
- Послуги
- установка
- налаштування
- кілька
- аналогічний
- просто
- одночасно
- один
- сайт
- сайти
- відстеження
- So
- Софтвер
- solid
- деякі
- Хтось
- що в сім'ї щось
- Source
- розмова
- спеціальний
- SPORTS
- шпигунських програм
- Починаючи
- починається
- крадеться
- ніжка
- Як і раніше
- вкрали
- Стоп
- зберігати
- Історія
- просто
- сильно
- начинка
- такі
- достатній
- Запропонує
- Підтриманий
- SVG
- Systems
- Приймати
- взяття
- Завдання
- Технологія
- Тестування
- Тести
- Команда
- їх
- отже
- третій
- тисячі
- через
- Тик Ток
- час
- трудомісткий
- Поради
- назва
- до
- Жетони
- топ
- ТОТАЛЬНО
- перехід
- прозорий
- Поворот
- при
- створеного
- URL
- us
- використання
- користувач
- користувачі
- використовувати
- відпустку
- склеп
- постачальники
- Вермонт
- жертви
- Порушуючи
- життєво важливий
- попередження
- годинник
- способи
- Web
- веб-сайт
- тижня
- добре відомі
- Що
- Чи
- який
- в той час як
- ВООЗ
- волі
- в
- без
- слова
- працює
- світ
- вартість
- б
- лист
- Неправильно
- рік
- років
- Ти
- вашу
- себе
- зефірнет