Skelbimas
Pasklidus žiniai apie didžiulį „Google“ serverių pažeidimą, dėl kurio buvo įsilaužta tariamai 5 milijonai el. Pašto adresų, įvairiose svetainėse buvo siūloma, kad skaitytojai turėtų patikrinkite, ar jie nebuvo aukos, įvesdami savo el. pašto adresus į „tikrinimo įrankius“ - svetaines, kurios gali nustatyti, ar el. pašto adresas yra nulaužtų sąraše įgaliojimai.
Problema ta, kad kai kurios iš šių tikrinimo priemonių nebuvo tokios teisėtos, kaip galbūt tikėjosi jas nukreipiančios svetainės…
5 milijonai el. Pašto adresų: tiesa
Tuo metu pranešta apie didžiulį 5 milijonų „Gmail“ paskyros naudotojų vardų ir slaptažodžių nutekėjimą, netrukus paaiškėjo, kad istorija, na, būtent tokia: istorija.
Paaiškink tai šiek tiek vėliau, „Google“ atskleidė, kad mažiau nei 2% vartotojo vardo ir slaptažodžio derinių buvo tikslūsir kad jų pačių prisijungimo saugos priemonės būtų sugavusios daugumą iš jų.
Jie taip pat paaiškino, kad įgaliojimai nebuvo įsilaužti iš jų pačių serverių, bet iš kitų svetainių:
Svarbu pažymėti, kad šiuo ir kitais atvejais nutekėję vartotojo vardai ir slaptažodžiai atsirado ne dėl „Google“ sistemų pažeidimo. Dažnai šie įgaliojimai gaunami derinant kitus šaltinius.
Pvz., Jei pakartotinai naudojate tą patį vartotojo vardą ir slaptažodį visose svetainėse ir viena iš tų svetainių nulaužta, jūsų prisijungimo duomenys gali būti naudojami prisijungiant prie kitų.
Taigi „Gmail“ paskyra, paimta iš ankstesnio pažeidimo - aukšto profilio ar kitokio pobūdžio - galėjo būti viena iš tų, kurie duomenų saugyklose atsidūrė „įsilaužėlių“ rankose. Iš esmės informacija, kuri jau galėjo būti internete viena ar kita forma, „Gmail“ paskyros buvo nukopijuotos iš kelių šaltinių.
Tačiau kaip ši istorija taip greitai išpopuliarėjo? Tikriausiai pasitelkiant didelį, apvalų skaičių, pavyzdžiui, 5 milijonus, ir sumanų stygų ištraukimą įsilaužėlių, paskelbusių paskyros slaptažodžius Rusijos „Bitcoin“ forume. Įmeskite internetinį tikrinimo įrankį, kuris patvirtina, ar jūsų el. Pašto sąskaita yra prieigos vietoje, ir jūs turite didelę naujieną.
Aišku, atrodo, kad taip isleaked.com nėra ta svetainė, kurią žmonės manė.
Kaip veikia netikras įsilaužėlių elektroninio pašto tikrintuvas
Pašto adreso tikrinimas pagal duomenų bazę (tai gali būti SQL, „Access“ ar net tekstinis failas Taigi, kas vis dėlto yra duomenų bazė? [„MakeUseOf“ paaiškina]Programuotojui ar technologijos entuziastams duomenų bazės koncepcija yra kažkas, ką tikrai galima laikyti savaime suprantamu dalyku. Tačiau daugeliui žmonių pati duomenų bazės sąvoka yra šiek tiek svetima ... Skaityti daugiau ) nulaužtų el. pašto abonementų yra gana paprasta. Kartu su lengvai atsisiunčiamu scenarijumi tokią svetainę būtų galima nustatyti maždaug per 30 minučių.
Tuo tarpu „Trojos medžioklė“ turi daug geresnį požiūrį, todėl turėtumėte naudoti jo svetainę, kad patikrintumėte, ar nutekėjo jūsų įgaliojimai, kai tik skaitote ar girdite apie paskyros įsilaužimą.
Kaip paaiškinta jo tinklaraštyje, Medžioklė pastatė Ar aš buvau supykus?, teisėta svetainė („Hunt“ yra „Microsoft MVP for Developer Security“), skirta paprastiems vartotojams įvesti savo el. pašto adresą ir sužinoti, ar jiems nebuvo įsilaužta. Naudojant duomenis, pateiktus tokiose svetainėse kaip Pastebin.com, jis net nurodo, kuris pažeidimas yra atsakingas už jūsų el. pašto paskyros buvimą jos duomenų bazėje.
Ieškai teisėto nulaužto el. Pašto sąskaitos patikrinimo?
Kai rodomi rezultatai, svetainėje rodomas svetainės, iš kurios buvo nutekinta jūsų sąskaitos informacija, pavadinimas. Tikimės, kad ši svetainė būtų jums atsiųsusi el. Laišką asmeniškai arba paskelbusi pranešimą.
(Žinoma, jei nerimaujate, kad jūsų el. Pašto paskyra buvo nulaužta, vis tiek turėtumėte pakeisti slaptažodį. Prisimink padaryti jį saugų ir įsimintiną 6 patarimai, kaip sukurti nenutrūkstamą slaptažodį, kurį galėtumėte atsimintiJei slaptažodžiai nėra unikalūs ir nesulaužomi, galite atidaryti priekines duris ir pakviesti plėšikus pietums. Skaityti daugiau .)
Kaip matote iš aukščiau esančio paveikslėlio, mano el. Pašto paskyra buvo viena iš daugelio, gautų atlikus didžiulį „Adobe“ pažeidimą 2013 m. Turėtumėte naudoti informaciją, kurią pateikia „Hunt“ svetainė, kad galėtumėte nedelsdami veikti, nors atminkite, kad net pakeitus slaptažodį jūsų el. Pašto adresas liks svetainėje.
Jei įmanoma, verta apsvarstyti galimybę pakeisti el. Pašto adresą, kurį naudojate savo internetinėse paskyrose.
Deramas kruopštumas neturėtų būti praeities dalykas
Gyvybiškai svarbus žurnalistikos elementas yra kruopštumas; faktų tikrinimas. Nepakanka tik pakartotinai pranešti spaudai. Tai gali padaryti bet kuris rašytojas, neatsižvelgdamas į turinio už 1 USD už 1000 žodžių mokėjimą ar atlyginimą didžiausiam vardui.
Deja, žiniatinklyje tai daroma nepakankamai.
Kelios minutės faktų patikrinimo būtų parodžiusios, kad reikalavimas dėl 5 milijonų adresų yra apgaulingas. Kaip tuo metu pranešėme, adresai buvo nukopijuoti iš ankstesnių nuotėkių kolekcijos „Gmail“ slaptažodžiai nutekėja internete, „Microsoft“ panaikina „Windows Phone“ ir dar daugiau... [Techninių žinių santrauka]Taip pat neigiamos apžvalgos, „Deezer“ JAV, „Google“ piramidės, „NES 3DS“ ir šviečiantis „Rube Goldberg“ aparatas. Skaityti daugiau . Rusijos įsilaužėliai galėjo palyginti sąrašą, o ne pažeisti „Google“ saugumą.
Tuo tarpu ypač įtarus buvo svetainė, kurią daugelis svetainių rekomendavo tikrinti el. Laiškus, isleaked.com. Įdomu, kad likus dviem dienoms iki nutekėjimo Rusijoje, staigus egzistavimas buvo arba labai sėkmingas, arba planuotas.
Kaip aš visada sakau, internetiniame saugume nėra sutapimų.
Galų gale, kas yra geresnis būdas patvirtinti adresų, į kuriuos tvirtinate, kad įsilaužėte, sąrašą, nei priversti paskyros savininkus patikrinti, ar jie vis dar juos naudoja? Tai šlamšto platintojų modus operandi - negyvi adresai yra nieko verti, todėl daugelis šlamšto el. Laiškų prašo jūsų atsakyti. Jūsų atsakymas yra užregistruotas ir adresas išsaugotas.
Nutekėjimo el. Pašto tikrintuvas isleaked.com lengvai galėtų būti sudėtingesnis požiūris. Nors jie teigia:
Mes nerenkame jūsų el. Pašto adresų, URL / IP adresų, prieigos žurnalų ir netikriname rezultatų. Arba bandymo metu nepadarome nieko kenksmingo jūsų įrenginiui!
... nėra daug priežasčių pasitikėti svetaine. Troy Huntas, turintis gerą vardą, paaiškina, kaip veikia jo svetainė, todėl prasminga juo naudotis.
Verdiktas: nereaguokite be faktų
Iš to mes galime pasimokyti, kad niekas neturėtų reaguoti į pretenzijas dėl duomenų pažeidimų ir įsilaužimų neturėdamas išsamių faktų. Yra tiesiog per daug kintamųjų, kad būtų galima į juos atsižvelgti.
Turint omenyje „Gmail“ įsilaužimo tvirtinimus, atrodo saugi prielaida, kad tariami įsilaužėliai tiesiog tikrino savo adresų kolekciją, kuri, tikėtina, naudojama įvairiose šlamšto kampanijose.
Vieni buvo tikri, kiti seniai pasibaigė.
Geriausia svetainė, skirta patikrinti, ar jūsų el. Paštas nebuvo nulaužtas, ir rasti kelią į tokią svetainę kaip Pastebin.com haveibeenpwned.com.
Ironiška, bet kalbant apie 5 milijonus „Gmail“ adresų, kurie, kaip spėjama, buvo nulaužti iš „Google“, būtent technologinė spauda buvo tikrai suplanuota.
Robas Hyronasas per „Shutterstock“
Christianas Cawley yra „Linux“, „pasidaryk pats“, programavimo ir techninių paaiškinimų saugumo, redaktoriaus pavaduotojas. Jis taip pat kuria „The Really Useful Podcast“ ir turi didelę patirtį palaikant darbalaukį ir programinę įrangą. Žurnalo „Linux Format“ bendradarbis Christianas yra „Raspberry Pi“ gamintojas, „Lego“ mėgėjas ir retro žaidimų gerbėjas.
