Annonse
Etter nyheten om et enormt brudd på Googles servere som resulterte i at påståtte 5 millioner e-postadresser ble hacket, antydet forskjellige nettsteder at leserne skulle sjekk om de hadde blitt ofre ved å oppgi e-postadressene deres i “kontrollverktøy” - nettsteder som kan avgjøre om en e-postadresse er i en liste over hacket legitimasjon.
Problemet er at noen av disse kontrollverktøyene ikke var like legitime som nettstedene som lenker til dem kanskje hadde håpet ...
5 millioner e-postadresser: Sannheten
Den gang rapportert som en massiv lekkasje på 5 millioner brukernavn og passord for Gmail-kontoen, viste det seg snart at historien var, vel, akkurat det: en historie.
Forklar det litt senere, Google avslørte at mindre enn 2% av kombinasjonen av brukernavn / passord var nøyaktige, og at deres egne påloggingssikkerhetsverktøy ville ha fanget flertallet av disse.
De presiserte også at legitimasjonsbeskrivelsen ikke ble hacket fra sine egne servere, men fra andre nettsteder:
Det er viktig å merke seg at i dette tilfellet og i andre, var de lekkede brukernavnene og passordene ikke et resultat av brudd på Googles systemer. Ofte oppnås disse legitimasjonene gjennom en kombinasjon av andre kilder.
Hvis du for eksempel bruker det samme brukernavnet og passordet på tvers av nettsteder, og et av disse nettstedene blir hacket, kan legitimasjonsinformasjonen din brukes til å logge på de andre.
Så en Gmail-konto som ble plukket opp i et tidligere brudd - høy profil eller på annen måte - kunne ha vært en av dem i datadumpen med legitimasjon i hendene på "hackerne". I hovedsak, informasjon som allerede har vært online i en eller annen form, Gmail-kontoer krybbet fra flere kilder.
Men hvordan gikk denne historien mainstream så raskt? Sannsynligvis ved hjelp av et stort, rundt antall som 5 millioner, og den smarte strengetrekkingen av hackerne som la ut passordene på et russisk Bitcoin-forum. Kast inn et online sjekkverktøy som bekrefter om din egen e-postkonto er i søppelposten, og du har en stor nyhet.
Det virker selvfølgelig sannsynlig isleaked.com er ikke nettstedet folk trodde det var.
Slik fungerer en falsk hacket e-postkontosjekker
Kontrollerer en e-postadresse mot en database (som kan være SQL, Access eller til og med en tekstfil Så hva er en database, likevel? [MakeUseOf Explains]For en programmerer eller en teknologientusiast er konseptet med en database noe som kan tas for gitt. For mange mennesker er imidlertid konseptet med en database litt utenlandsk ... Les mer ) av hacket e-postkontoer er relativt grei. Kombinert med et lett nedlastet skript, kan en slik webside konfigureres i løpet av 30 minutter.
Troy Hunt har i mellomtiden en mye bedre tilnærming, og det er grunnen til at du bør bruke nettstedet hans for å sjekke om det er lekkasje av legitimasjon når du leser eller hører om en kontohack.
Som forklart på bloggen hans, Har Hunt bygd Har jeg blitt pwned?, et legitimt nettsted (Hunt er en Microsoft MVP for Developer Security) designet for gjennomsnittlige brukere å skrive inn e-postadressen deres og finne ut om de har blitt hacket eller ikke. Bruker data sendt til nettsteder som Pastebin.com, forteller den til og med hvilket brudd som er ansvarlig for tilstedeværelsen av e-postkontoen din i databasen.
Ser du etter en legitim hacket e-postkontosjekk?
Når resultatene vises, viser nettstedet navnet på nettstedet som kontoinformasjonen din ble lekket fra. Forhåpentligvis ville nettstedet sendt deg e-post privat eller kunngjort.
(Hvis du er opptatt av at e-postkontoen din er hacket, bør du selvfølgelig endre passordet ditt uansett. Husk å gjør det sikkert og minneverdig 6 tips for å opprette et ikke brytbart passord som du kan huskeHvis passordene dine ikke er unike og uknuselige, kan du like gjerne åpne inngangsdøren og invitere ranerne inn til lunsj. Les mer .)
Som du kan se fra bildet over, var e-postkontoen min en av de mange som ble hentet i det massive Adobe-bruddet fra 2013. Du bør bruke informasjonen Hunts nettsted gir til å handle umiddelbart, men vær oppmerksom på at selv når passordet ditt er endret, vil e-postadressen din forbli på nettstedet.
Hvis det er praktisk, kan det også være verdt å vurdere å endre e-postadressen du bruker med dine online-kontoer.
Due Diligence Bør ikke være noe fra fortiden
Et viktig element i journalistikken er due diligence; kontroll av fakta. Det er ikke nok å gjenopprette pressemeldinger. Enhver forfatter, enten det er å kaste ut innhold for $ 1 per 1000 ord eller lønnet til et toppnavn i publiseringen, kan gjøre det.
Dessverre på World Wide Web, skjer det ikke nok.
Noen få minutters faktakontroll ville ha vist at de 5 millioner adressene hevdet var en fabrikasjon. Som vi rapporterte den gang, adressene hadde blitt krybbet fra en samling av tidligere lekkasjer Gmail-passord lekker online, Microsoft slipper Windows Phone og mer... [Tech News Digest]Negative anmeldelser, Deezer i USA, Google Pyramids, NES 3DS og en lysende Rube Goldberg-maskin. Les mer . De russiske hackerne kunne sortere en liste i stedet for å bryte Googles sikkerhet.
Av særlig mistanke var nettstedet anbefalt av mange nettsteder for å sjekke e-post, isleaked.com. Nysgjerrig registrert bare to dager før lekkasjen, i Russland, var den plutselige eksistensen enten enormt heldig eller planlagt.
Som jeg alltid sier, det er ingen tilfeldigheter i online sikkerhet.
Tross alt, hvilken bedre måte å bekrefte listen over adresser du påstår å ha hacket, enn å få kontoeierne til å bekrefte om de fortsatt bruker dem eller ikke? Det er modus for spammere - døde adresser er verdiløse, og det er grunnen til at mange spam-e-poster ber deg om å svare. Svaret ditt er logget og adressen beholdt.
E-postkontrollen til lekkasjen isleaked.com kan lett være en mer sofistikert tilnærming. Mens de hevder:
Vi samler ikke e-postene dine, URL-er / IP-adresser, tilgangslogger eller sjekker resultater. Enten gjør vi ikke noe skadelig med enheten din under testen!
... det er liten grunn til å stole på nettstedet. Troy Hunt, som har et rykte for å opprettholde, forklarer hvordan nettstedet hans fungerer, så det er fornuftig å bruke det.
Dommen: Reager ikke uten fakta
Det vi kan lære av dette, er at ingen skal handle påstander om brudd på data og hacks uten å ha de fulle fakta. Det er rett og slett for mange variabler å ta hensyn til.
Med Gmail-hack-påstandene virker det som en trygg antagelse om at de påståtte hackerne bare verifiserte deres samling av adresser, antagelig brukt i forskjellige spam-kampanjer.
Noen var ekte, andre gikk for lengst ut.
Det beste nettstedet for å sjekke om e-posten din er blitt hacket og funnet veien til et nettsted som Pastebin.com er haveibeenpwned.com.
Ironisk nok, så langt som de 5 millioner Gmail-adressene som visstnok ble hacket fra Google, var det teknologipressen som virkelig ble pwned.
Rob Hyrons via Shutterstock
Christian Cawley er assisterende redaktør for sikkerhet, Linux, DIY, programmering og teknisk forklart. Han produserer også The Really Useful Podcast og har lang erfaring innen stasjonær og programvare. Christian er en bidragsyter til Linux Format-magasinet, en Raspberry Pi tinkerer, Lego-elsker og retrospill-fan.