Annonse
Rapporter om at en massiv lekkasje av webmail-kontoer inkluderer et stort antall legitimasjon som aldri er sett før, har blitt møtt med en blanding av panikk... og tvil. Hvor nøyaktige er nyhetene, og kan Gmail, Hotmail / Outlook eller Yahoo Mail-legitimasjonen være i blandingen?
272 millioner unike e-postadresser
Nei, det er ingenting galt med synet ditt. Det lyder virkelig “272 millioner”. Det er summen av unike par e-postadresser og passord hentet fra en hacker av Hold Security, et informasjonssikkerhetsfirma som tidligere har fått en samling av 1,2 milliarder navn fra russiske cybergjenger i 2014 Russian Hacking Gang Captures 1,2 milliarder legitimasjonsbeskrivelser: Hva du bør gjøre Les mer . det ser ut til at selskapet har god form på dette området, og kan betraktes som pålitelig.
Men vi kommer tilbake til det.
Tallet på 272 millioner er riktignok høyt, og er tilsynelatende en samling kontoer fra Gmail, Hotmail, Yahoo Mail og Mail.ru, en russisk og østeuropeisk nettposttjeneste. Hold Security hevder at av 272 millioner kontoer er 42,5 millioner nye - de har aldri blitt inkludert i noen tidligere datainnbrudd.
Hvis det er sant, gir dette lekkasjen der oppe med noen av de største gjennom tidene, for eksempel den enorme lekkasjen på 150 millioner Adobe-brukerkontoer og sinnssykt ødeleggende lekkasje fra Ashley Madison Ashley Madison Leak No Big Deal? Tenk igjenDiskret online datingside Ashley Madison (hovedsakelig rettet mot å lure ektefeller) er blitt hacket. Dette er imidlertid en langt mer alvorlig sak enn det som er blitt fremstilt i pressen, med betydelige konsekvenser for brukernes sikkerhet. Les mer .
Som med alle store lekkasjer, kan du finne ut om legitimasjonen din er i hendene på hackere ved å besøke www.haveibeenpwned.com. Dette nettstedet, som tidligere ble vist på MUO, er en søkbar database med data fra alle de største hacks. Hvis du finner legitimasjon der inne, og gjenkjenner passordet som et gjeldende, er det på tide å endre det. I mellomtiden, hvis kontoen nå er ubrukt, er det verdt å lukke den.
Hva med disse 42 millioner kontoene?
Hvem lekket dataene?
Historien bak denne lekkasjen virker innhyllet i mystikk. Hold sikkerhets blogginnlegg om saken antyder at de ble kontaktet anonymt med over 900 millioner legitimasjon innsamlet fra flere brudd i løpet av en periode, en total på 10 gigabyte.
Vi kjenner ikke personen som lekket dataene, annet enn at han blir beskrevet som "denne gutten fra en liten by i Russland" og at han ble betalt i sosiale medier som. Nei, egentlig.
Hvordan brudd på data kan brukes av hackere
Så hva betyr det egentlig? Hvordan kan noen bruke 10 gigabyte som er verdt å ha lekket e-postadresse? Vel, tenk litt på: hvor mange nettsteder logger du deg på med e-postkontoen din?
I en tale med BBC forklarte Milwaukee-baserte Hold Securitys sjef for informasjonssikkerhet, Alex Holden, hvordan "det finnes hackersider som annonsere ‘brute tvinge’ populære tjenester og lagre fronter ved å ta en stor mengde legitimasjon og kjøre dem en etter en mot nettstedet."
Én etter én blir forsøkt passord etter passord på tjenester som Amazon, eBay, kanskje Xbox Live og PlayStation Network, ved å bruke brute force-teknikk Hva er brute Force Attacks, og hvordan kan du beskytte deg selv?Du har sikkert hørt uttrykket "angrep mot brute force". Men hva betyr det egentlig? Hvordan virker det? Og hvordan kan du beskytte deg mot det? Her er hva du trenger å vite. Les mer , demonstrert her:
Enda verre er at legitimasjonen sannsynligvis er blitt delt over hele verden nå, innrømmer Holden:
"Det som gjør denne oppdagelsen mer viktig, er hackerens vilje til å dele disse legitimasjonene praktisk talt gratis, noe som øker antallet... ondsinnede mennesker som kan ha denne informasjonen."
Men sikkerhetsbrudd kan også brukes av sikkerhetsselskaper. Tilbake i 2014 forsøkte Hold Security å innbetale på bruddet det rapporterte den gangen, tilbyr en abonnementstjeneste til eiere av nettsteder (men ikke enkeltpersoner). Noen forskere hevder at deres forrige øyeblikk i søkelyset var et tilfelle av stil fremfor substans, men Holden benektet at dette var tilfelle, og hevder å være "faktisk å tape penger. Vi prøver ikke å gjøre det for publikum i det hele tatt fra perspektivet til å tjene penger, vi presser ikke på tjenestene våre. Faktisk prøver vi å ikke gå i stykker. ”
Uansett om du tror Holden ikke er poenget. Poenget er at lekkasjen inkluderer data som kan bli din. Hva kan du gjøre med det?
Jeg burde endre passordet mitt, ikke sant?
Hvis du er eier av en Hotmail-, Outlook-, Gmail-, Yahoo Mail- eller Mail.ru-konto, tror du sannsynligvis at akkurat nå er det beste tidspunktet å endre kontopassordet. Hold et hest et øyeblikk. Anerkjent sikkerhetsforsker Professor Alan Woodward sa til BBC at "det ikke var behov for å få panikk eller at folk skulle endre passordene sine på dette tidspunktet."
Nå sier vi ikke at du ikke bør endre passordet. er du fri til å gjøre det når som helst, ettersom det er kontoen din. Hvis bruddet er så alvorlig som det blir hevdet, vil webmailleverandøren din kreve at du endrer passordet neste gang du prøver å logge deg inn.
Prof. Woodward blir ganske krøllete her, og ber brukerne vente på instruksjoner fra nettleverandøren deres. Hvorfor? For det første er det Gmail, Hotmail / Outlook, Yahoo Mail og Mail.ru som har ressursene til undersøke legitimiteten til bruddet, og det er de selskapene som har makt til å sette i gang masse passord tilbakestilles.
I tillegg har webmail-leverandører verktøy på plass for å oppdage mistenkelige pålogginger. Alt i alt har de situasjonen under kontroll.
Trusselen om phishing og spam
Et stort problem med høyprofilerte sikkerhetsbrudd er at de har med seg ytterligere trusler. I likhet med pilotfisk er kriminelle aldri langt fra den store utbetalingen, klare til å samle restene som blir kastet til side. Det er en stor trussel fra phishing etter dette bestemte nyheten.
Først av alt, hvis du bruker Gmail, Hotmail eller Outlook, Yahoo Mail eller Mail.ru, kan du merke en økning i e-postmeldinger med spam. Noen kan komme fra nye kilder, og være vanskelige for nettpostleverandøren din å håndtere på vanlig måte (det vil si, hold den i spam / søppelmappen, utenfor din syn). Som et resultat er ekstra årvåkenhet nødvendig.
Det viktigste er kanskje at du må være klar over sannsynligheten for nettfiskemails Slik oppdager du en phishing-e-postDet er tøft å fange en phishing-e-post! Svindlere utgjør som PayPal eller Amazon, og prøver å stjele passordet ditt og kredittkortinformasjonen, er deres bedrag nesten perfekt. Vi viser deg hvordan du kan oppdage svindelen. Les mer hevder å være fra webmail-leverandøren, og ber deg om å klikke på en kobling for å tilbakestille passordet ditt. Koblingen vil selvfølgelig være til en forfalsket nettsted Hvordan svindlere målretter mot PayPal-kontoen din, og hvordan de aldri faller for denPayPal er en av de viktigste kontoene du har online. Ikke misforstå, jeg er ikke en stor PayPal-fan, men når det kommer til pengene dine, vil du ikke leke. Samtidig som... Les mer , klar til å samle inn gjeldende legitimasjon.
Ingen av de aktuelle webmail-leverandørene vil sannsynligvis sende deg en e-post av denne typen.
Hold deg trygg og unngå nettfiskemails
Vi ser ut til å leve i en gullalder med sikkerhetsbrudd (i det minste for hackerne), og det viser ingen tegn til å la være. Så lenge det finnes online-systemer, og det er fortjeneste, vil det være mennesker med ferdigheter og motivasjon til å bryte disse systemene.
Å bekjempe dette krever bedre årvåkenhet fra virksomhetene og tjenestene vi deler e-postadressene og personopplysningene våre med; det trenger oss også å være våken for truslene, og hvordan de kan henrettes. Spam e-post, nettfisking, forfalskning av nettsteder - de vil sannsynligvis angripe vektorer på vei mot innboksen din.
Hvordan har du det med dette siste sikkerhetsbruddet? Blir du lei av å høre om lekkasjer på nettet som kan unngås med strengere sikkerhet på plass? Fortell oss hva du synes - start samtalen i kommentarfeltet.
Bildetillegg: stjele en veske av Volkova Vera via Shutterstock, Brian Senic via Shutterstock.com, JMiks via Shutterstock.com
Christian Cawley er assisterende redaktør for sikkerhet, Linux, DIY, programmering og teknisk forklart. Han produserer også The Really Useful Podcast og har lang erfaring innen stasjonær og programvare. Christian er en bidragsyter til Linux Format-magasinet, en Raspberry Pi tinkerer, Lego-elsker og retrospill-fan.
