Rusijos įsilaužėlių gauja užfiksuota 1,2 milijardo kredencialų: ką reikėtų daryti

Skelbimas

Ką gausite, kai aplenksite keliolika Rusijos nusikalstamų įsilaužėlių, turinčių 420 000 svetainių, kuriose yra SQL injekcijos pažeidžiamumas? Šių įsilaužėlių rankose yra 4,5 milijardo sukompromituotų įrašų.

Antradienį „New York Times“ pranešė, kad Milvokio „Hold Security“ Viskonsine atrado duomenų bazę, užpildytą pavogtais dokumentais. Aleksas Holdenas, „Hold Security“ vyriausiasis informacijos apsaugos pareigūnas, sekė pavogto šaltinio vietą kredencialai mažam įsilaužimo žiedui, kuriame yra vos keliolika dvidešimties metų amžiaus vyrų, įsikūrusių iš pietų centrinės dalies Rusija. Jis praminė grupę „CyberVor“.

Holdenas paaiškino, kad „įsilaužėlių gaują“ sudarė jaunų vyrų komanda, kiekviena iš savo vaidmenų - vieni rašė programas, kiti stengėsi iš duomenų išgauti įgaliojimus. Visa apranga veikia kaip tikras verslas.

Rusijos įsilaužėlių gauja

Anot Holdeno, „CyberVor“ pradėjo veikti 2011 m. Kaip šiukšlių platintojų komanda. Tada verslo planas buvo įsigyti pavogtą kontaktinę informaciją iš juodosios rinkos, kad klientams būtų išsiųsti masiniai šlamšto el. Per kelerius ateinančius metus nusikalstamų verslininkų komanda sukūrė „robotas-tinklą“ - didžiulį kompiuterį, užkrėstą virusu, kuris leidžia juos panaudoti siunčiant šlamšto sprogmenis.

Laikui bėgant, komanda pasinaudojo savo „bot-net“ tinklu, norėdama patikrinti, kurias svetaines gali paveikti SQL injekcijos įsilaužimo ataka. Kai tik bus sudarytas svetainių sąrašas, komanda pradėjo dirbti, vykdydama svetainių įsilaužimą ir išgaudama visą joje saugomos duomenų bazės turinį.

Turėdama prieigą prie duomenų bazės, grupė sugebėjo sudaryti 4,5 milijardo įrašų, kurie pasirodė iš viso yra 1,2 milijardo unikalių vartotojo vardų ir slaptažodžių kredencialai ir 542 milijonai unikalių el adresus.

Ką tai reiškia

Jei manote, kad galite atsiriboti nuo šios ypatingos grėsmės saugumui, pagalvokite dar kartą. Atsižvelgiant į tai, kad pasaulyje šiuo metu yra šiek tiek mažiau nei 3 milijardai interneto vartotojų, pažeista 1,2 milijardo unikalių naudotojo vardo ir slaptažodžio įgaliojimai rodo rekordinę nusikalstamų įsilaužėlių sėkmę, ir tai taip pat reiškia, kad jūsų įgaliojimai yra labai tikėtini rizikuoti.

Orla Cox, „Symantec“ saugos atsako direktorė NPR žinioms sakė, kad saugiausias būdas tai padaryti yra manyti, kad jūsų įgaliojimai yra pažeisti.

„Manau, visi interneto vartotojai turėtų manyti, kad jiems tai turėjo įtakos. Akivaizdu, kad jie nėra oportunistai, jie nėra hobitai. Tai yra visą darbo dieną dirbantys kibernetiniai nusikaltėliai, jie greičiausiai tai vykdė kelis mėnesius, o gal net metus “.

Kaip sužinoti, ar tai turėjo įtakos bet kuriam jūsų įgaliojimui? Deja, jūs to nedarote - tik tol, kol „Hold Security“ nepaskelbia savo internetinio įrankio, kuris leis jums patikrinti, ar jūsų duomenų nėra duomenų bazėje.

Tuo tarpu „Hold Security“ pasinaudoja pažeidimu, statydamas a paslaugų komplektas skirtas padėti svetainių savininkams ir interneto vartotojams valdyti šios įsilaužėlių gaujos keliamą grėsmę. Šios paslaugos apima:

• Pranešimo apie pažeidimus tarnyba (BNS) - įspėja, jei jūsų svetainė nukentėjo dėl šio ar kito saugumo pažeidimo. Kaina: 120 USD per metus
• Rašiklių tikrinimo ir audito paslaugos - tikrins jūsų svetainę ir ras pažeidimų. Kainos nenurodytos.
• Kredencialų vientisumo tarnyba - praneša, jei kuriam nors iš jūsų svetainės naudotojų kredencialai buvo pažeisti. Kainos nenurodytos.
• Elektroninio asmens tapatybės stebėjimo tarnyba - skirta asmenims, norintiems sužinoti, ar jų elektroninė tapatybė yra pažeidžiama ar nepažeista. Galima išankstinė registracija, nes ši paslauga yra tobulinama.

Ką turėtum daryti

Žinoma, pigiausias būdas surašyti čekį „Hold Security“, norint pasakyti, ar jus paveikė, yra tiesiog pakeisti visus savo slaptažodžius. Tai daryti gali erzinti, todėl uždarykite jį ant kulnų Širdies fiasko vos prieš keletą mėnesių Širdies plakimas - ką galite padaryti, kad išliktumėte saugūs? Skaityti daugiau , tai tikrai vienintelis tikras lažybų būdas, kurį turite apsaugoti savo sąskaitoms. Žinoma, problema yra tai, kad jūs to tikrai negalite padaryti, kol nesužinosite, kad jūsų naudojamos svetainės nėra pažeidžiamos SQL įpurškimo.

Jei norite nustatyti, ar svetainės, kurias naudojate prieigai prie savo paskyrų, yra saugios, jums reikės būdas sužinoti, ar jie yra apsaugoti nuo SQL injekcijų atakų - pasirinkto ginklo šiam konkrečiam Rusijos įsilaužėliui gauja.

Laimei, gana lengva patikrinti, ar svetainė yra pažeidžiama būtent to įsilaužimo. Viskas, ką jums reikia padaryti, tai rasti puslapį svetainėje, kuris dinamiškai įkeliamas iš užpakalinės duomenų bazės. Tai yra gana lengva naudojant PHP pagrįstą svetainę, ieškant URL struktūros, paremtos užklausa: „ http://www.website.com/page.php? id = 32 ”

Greitas SQL injekcijos pažeidžiamumo testas pridedamas prie vienos citatos pačiame eilutės gale. Jei internetinis puslapis vis tiek įkeliamas gerai, tada svetainė yra apsaugota nuo šios atakos. Jei ji pateikia klaidą „SQL užklausa nepavyko“, svetainė yra pažeidžiama ir turėtumėte manyti, kad ten saugomi duomenys buvo pažeisti.

Pridedant a ‘ URL, jūs bandote, ar galėtumėte pridėti papildomų SQL parametrų, kad suaktyvintumėte labiau invazinę SQL komandą.

Jei pamatysite, kad svetainė yra saugi, tada eikite į priekį ir pakeiskite ten savo slaptažodžius. Jei matote, kad ji vis dar pažeidžiama SQL injekcijos atakos, venkite keisti savo kredencialus, o susisiekite su svetainės savininku ir informuokite juos apie pažeidžiamumą.

Kol tu esi ...

Keliaudami ir keisdami slaptažodžius visose apsaugotose svetainėse, atsižvelkite į šias rekomendacijas.

• Ar jūsų slaptažodis yra tikrai unikalus ir stiprus? Įsitikinkite, kad peržiūrėjote daugybę mūsų straipsnių slaptažodžių generavimo patarimai 13 būdų, kaip sudaryti saugius ir įsimenamus slaptažodžiusNorite sužinoti, kaip sudaryti saugų slaptažodį? Šios kūrybinės slaptažodžio idėjos padės jums sukurti tvirtus, įsimenamus slaptažodžius. Skaityti daugiau .
• Naudoti Slaptažodžio tvarkyklė Norėdami supaprastinti savo gyvenimą, naudokite slaptažodžio valdymo strategijąDidelės dalies slaptažodžių patarimų beveik neįmanoma laikytis: naudokite tvirtą slaptažodį, kuriame yra skaičiai, raidės ir specialieji simboliai; reguliariai keiskite; sugalvokite visiškai unikalų slaptažodį kiekvienai paskyrai ir tt ... Skaityti daugiau ir įsitikinkite, kad kiekvienos jūsų naudojamos svetainės slaptažodis skiriasi. Pabandykite naudoti slaptažodžių generatorius 5 geriausi internetiniai slaptažodžių generatoriai, skirti stipriems atsitiktiniams slaptažodžiamsIeškai būdo greitai susikurti nesulaužomą slaptažodį? Išbandykite vieną iš šių internetinių slaptažodžių generatorių. Skaityti daugiau kiekvienai svetainei.
• Aš kartoju: naudokite unikalų slaptažodį kiekviena svetainė!

Be slaptažodžio tvarkymo, yra dar vienas kūrybingas požiūris, leidžiantis iš tikrųjų „sugrįžti“ prie įsilaužėlių. Tai reiškia, kad turite įsitikinti, kad visose jūsų internetinėse paskyrose yra melagingos informacijos - melagingų adresų, telefonų ir el. Pašto adresų. Tokiu būdu, kai įvyksta tokio pobūdžio pažeidimai, galite tiesiog juoktis, nes tai yra asmeninis kontaktas informacija - ypač el. paštas, kuris paprastai pašalinamas šlamšto siuntimo tikslais - yra visiška apgaulė įsilaužėlis.

Akivaizdu, kad toks požiūris neveiks finansinėje svetainėje, kuriai paprastai reikia patvirtintos tapatybės, tačiau galima būtų tikėtis kad finansinės svetainės yra pakankamai toli prieš saugumo kreivę, kad būtų daugiau nei saugios nuo kažko, pavyzdžiui, SQL įpurškimo nulaužti.

Atsižvelgiant į šios naujausios atakos dydį ir apimtį, ar jums rūpi jūsų asmeninė informacija? Ar jūs planuojate tai spręsti? Pasidalykite savo mintimis komentarų skiltyje žemiau!

Šaltinis: Niujorko laikas
Vaizdo kreditai: Nematomas žmogus Per „Shutterstock“, kentohas / „Shutterstock“