Pagina principala » Internet » Ceea ce Dropbox Hack vă poate învăța despre starea securității Web

    Ceea ce Dropbox Hack vă poate învăța despre starea securității Web

    În săptămâna trecută, Dropbox făcuse ziare peste un hack care vedea adresele de email și parolele a 68 de milioane de conturi Dropbox compromise. Pentru orice utilizator Dropbox, acest lucru este, desigur, un motiv de îngrijorare, mai ales dacă stocați ceva în Dropbox, fie personal, fie pentru lucru.

    Fotografiile, documentele, datele etc. pot fi accesate fără știrea dvs. utilizând adresa dvs. de e-mail și parola pierdute în acel hack. Vestea bună este nu au existat rapoarte despre nimic rău care să iasă din hack-ul Dropbox, pana acum. Cu toate acestea, asta nu înseamnă că nu este nimic de îngrijorat.

    Despre hack-ul Dropbox

    Mai întâi de toate, să lăsăm acest lucru în cale: hack-ul Dropbox nu sa întâmplat doar săptămâna trecută. Mai mult de 68 de milioane de adrese de e-mail și parole sunt furate în hack, da, dar hack-ul în sine sa întâmplat acum 4 ani, în 2012.

    Mai degrabă decât să-și imagineze o scenă de hacker de la Hollywood (multe dintre ele care au avut hacking teribil de greșit), hack-ul a ajuns să fie din cauza erorii umane.

    Hackerii au folosit nume de utilizator și parole dintr-o altă încălcare a datelor pentru a vă conecta la conturile Dropbox. Unul dintre aceste conturi a aparținut unui angajat Dropbox, care au folosit aceeași parolă atât pentru site-ul incorect, cât și pentru contul lor Dropbox.

    Întâmplător, același angajat avea un dosar plin documente care conțin adresele de e-mail de 68.680.741 conturi Dropbox precum și au împărțit parole. Joc, set și meci.

    1. Dropbox nu era singur; LinkedIn a fost, de asemenea, hacked

    Înapoi în mai 2016, LinkedIn a anunțat ceva similar cu hack-ul Dropbox de săptămâna trecută. Ei au cerut utilizatorilor LinkedIn să-și schimbe parolele "ca o chestiune de bună practică" după ce au luat la cunoștință furtul unui set de e-mailuri și parole care au avut loc - ați ghicit - în 2012.

    Dacă ați făcut clic pe acel link din paragraful anterior, nu veți găsi nicio referire la cât de mare a fost această pierdere de date simțul urgenței este evident cu frecvente actualizări la pagina respectivă.

    Ce sa întâmplat a fost asta mai mult de 117 milioane Conturile LinkedIn au fost afectate, deși este posibil ca numărul real ar putea fi la fel de mare ca 167 milioane de euro.

    2. De ce parolele hacked resurfacing acum?

    Seturile de date pentru ambele Dropbox și LinkedIn sunt raportate fiind tranzacționate acum în întuneric (sau au fost, conducând până la o săptămână în urmă).

    Setul lui LinkedIn a fost inițial vândut pentru 2.200 de dolari, în timp ce Dropbox's merge pentru puțin peste 1.200 de dolari - atât The valoarea acestor seturi de date se diminuează cu cât sunt mai mult acolo, deoarece, odată ce majoritatea utilizatorilor au schimbat parolele, seturile de date nu au nicio valoare.

    Dar de ce acum? Patru ani după hack? Cel mai apropiat am primit la un răspuns vine de la Troy Hunt (el este menționat destul de puțin în acest post, și aproape oriunde altundeva), care scrie multe despre cybersecurity. Voi cita doar ceea ce are de spus:

    Inevitabil există un catalizator, dar ar putea fi multe lucruri diferite; atacatorul decide în cele din urmă să-l monedeze, ei înșiși fiind vizați și pierd datele sau, în final, tranzacționând-o pentru altceva de valoare.

    3. Hack-urile și depozitele de date se întâmplă mai des decât oricine îi place să recunoască

    În timp ce citesc despre acest hack Dropbox, am dat peste acest director de baze de date, Vigilante.pw un site care conține informații despre încălcarea datelor. În punctul de vedere al acestei scrieri, baza de date completă conține informații de peste 1470 de încălcări 2 miliarde de conturi compromise.

    Cel mai mare dintre loturi este Myspace hack în 2013. Acest hack a afectat mai mult decât 350 de milioane de conturi.

    În același director, cele 68 de milioane de intrări ale companiei Dropbox sunt cea de-a noua cea mai mare din istoria depozitelor de date cunoscute până în prezent; LinkedIn este al cincilea cel mai mare, deși în cazul în care numărul a fost corectat la 167 de milioane în schimb, aceasta ar face al doilea cel mai mare dump de date din director.

    (Rețineți că datele depozitelor de date pentru Dropbox și LinkedIn sunt listate ca 2012, în loc de 2016.)

    Cu toate acestea, nu merită nimic că hack-ul infamat Ashley Madison, precum și hack-ul de schimbare a jocului RockYou a fost nu incluse în director. Deci, ce se întâmplă cu adevărat acolo e mai mare decât ceea ce vedeți pe site.

    haveibeenpwned.com este, de asemenea, o altă sursă pe care o puteți folosi pentru a vă uita la severitatea hack-urilor și a haldelor de date care afectează serviciile și instrumentele online.

    Site-ul este condus de Troy Hunt, un expert în securitate care scrie în mod regulat despre încălcări ale datelor și despre problemele de securitate, inclusiv despre acest recent hack Dropbox. Notă: site-ul vine de asemenea cu un instrument gratuit de notificare care vă va avertiza dacă vreunul din e-mailurile dvs. a fost compromis.

    Veți putea găsi o listă a site-urilor amăsate, ale căror date au fost consolidate pe site. Aici este lista sa de top 10 încălcări (doar uita-te la toate aceste numere). Găsiți lista completă aici.

    Încă cu mine? E mult mai rău.

    4. Cu fiecare încălcare a datelor, hackerii sunt mai buni la spargerea parolelor

    Acest post este activat Ars Technica de Jeremi Gosney, o cracker de parole profesionale merită citit. Scurtciunea este asta cu cât există mai multe încălcări ale datelor, cu atât mai ușor devine pentru hackeri să crack viitor parole.

    Hack-ul RockYou sa intamplat in 2009: 32 milioane de parole in plaintext au fost scurgeri si crackers-ul de parola a primit o privire interioara asupra modului in care utilizatorii creeaza si folosesc parole.

    Asta a fost hack-ul care a dovedit cat de putin ne gandim la alegerea parolelor noastre de exemplu. 123456, te iubesc, Parola. Dar mai important:

    Interdicția RockYou a provocat crăparea parolei.

    Obținerea a 32 de milioane de parole neprotejate, neprotejate și neprotejate upped joc pentru crackers parola profesionale deoarece, deși nu au fost cei care au efectuat încălcarea datelor, ei sunt acum mai pregătiți decât oricând să crack passwords hashes odată ce are loc un depozit de date. Parolele obținute din hack-ul RockYou și-au actualizat lista de atacuri cu dicționarele cu parolele reale pe care oamenii le folosesc în viața reală, contribuind la cracare semnificativă, mai rapidă și mai eficientă.

    Încălcări ulterioare de date vor veni: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - și cu unele upgrade hardware, a fost posibil ca autorul (după ce a colaborat cu câteva echipe relevante pentru industrie) să se descurce 173,7 milioane de parole LinkedIn într-o simplă 6 zile (Asta 98% din întregul set de date). Atât de mult pentru siguranță, huh?

    5. Hashing parole - ajuta ei?

    Există o tendință pentru un site care a suferit o încălcare a datelor pentru a aduce cuvintele hash parole, parole sarate, algoritmi de hash și alți termeni similari, ca și cum să vă spun că parolele dvs. sunt criptat, și ergo contul dvs. este în siguranță (ptiu). Bine…

    Dacă vrei să înțelegi ce hashing și sărare este modul în care funcționează și cum se sparg, este un articol minunat de citit.

    Cu riscul de a simplifica conceptele, urmează:

    • Hash algoritm modifică o parolă pentru ao proteja. Un algoritm ascunde parola astfel încât să nu fie ușor de recunoscut de către o terță parte. Cu toate acestea, hash-urile pot fi crăpate cu atacuri de dicționar (adică punctul 6) și atacuri de forță brute.
    • Sărare adaugă un șir aleator la o parolă înainte de a se rupe. În acest fel, chiar dacă aceeași parolă este spartă de două ori, rezultatul va fi diferit datorită sarei.

    Revenind la hack-ul Dropbox, jumătate din parole sunt sub SHA-1 hash (sărurile care nu sunt incluse, ceea ce le face imposibil să se spargă), în timp ce cealaltă jumătate se află sub codul de brichetă.

    Această combinație indică o tranziție de la SHA-1 la bcrypt, care a fost o mișcare înainte de timpul său, deoarece SHA1 se află în mijlocul eliminării treptate până în 2017, înlocuindu-se cu SHA2 sau SHA3.

    Acestea fiind spuse, este important să înțelegeți că "hașcarea este o poliță de asigurare" care încetinește doar hackerii și biscuiții. Chiar dacă această protecție adăugată face parolele "greu de decodat", aceasta nu înseamnă că este imposibil să se spargă.

    În cel mai bun caz, haosul și sărarea doar cumpărați timp pentru utilizatori, suficient pentru a-și schimba parolele pentru a împiedica preluarea contului.

    6. Urmărirea hacurilor (încălcări ale datelor)

    (1) Hack-urile ar putea fi relativ benigne ca hack-ul Dropbox, sau ar avea rezultate devastatoare precum încălcarea datelor Ashley Madison.

    În acest din urmă, s-au scurs date de 25 GB de date, inclusiv adrese de domiciliu reale, tranzacții cu cărți de credit și istoric de căutare al utilizatorilor lor. Datorită naturii site-ului web, au fost multe cazuri de denigrare publică, șantaj, extorcare, divorțuri și chiar sinucideri.

    Hack-ul a expus, de asemenea, crearea de conturi false și utilizarea de chatbots pentru a atrage clienții plătitori pentru a vă înscrie pentru un cont.

    (2) De asemenea, hacks ne arată indiferența noastră în selectarea parolelor - care este până când a avut loc o încălcare.

    Am stabilit acest lucru atunci când discutăm despre încălcarea RockYou în # 4. Dacă aveți multe date importante pe Internet, este o idee bună utilizați o aplicație de gestionare a parolei. Și activați autentificarea în două etape. Și nu reutilizați niciodată parolele care au fost încălcate de date. Și asigurați-vă că alți oameni cu care lucrați să adopte aceleași măsuri de siguranță.

    Dacă doriți să faceți un pas înainte, înscrieți-vă pentru un instrument de notificare care vă avertizează atunci când e-mailul dvs. este implicat într-o încălcare a datelor.

    (3) Hacks prezintă un site indiferență față de protejarea parolelor utilizatorilor și date.

    În cazul Dropbox vs LinkedIn, puteți vedea că Dropbox au luat măsuri mai bune și mai bine calculate pentru a minimiza daunele de la o încălcare a acestor date.

    Dropbox a folosit metode mai bune de tip hashing și saltare, a trimis e-mailuri către utilizatori, făcându-i să-și schimbe parolele cât mai curând posibil, oferind autentificare cu două factori și Universal 2nd Factor (U2F) care utilizează o cheie de securitate și a modificat politica de personal utilizați 1 parolă pentru a gestiona parolele, parolele contului corporativ nu mai pot fi reutilizate și toate sistemele interne sunt pe 2FA).

    Pentru o defalcare a ceea ce a făcut LinkedIn, acest articol este probabil o citire mai aprofundată și mai potrivită.

    Înfășurarea în sus

    Pentru a fi sincer, învățarea despre toate acestea doar din studierea hack-ului Dropbox a fost o experiență de deschidere a ochilor și terifiantă. Noi, populația generală, subestima subtil nevoia de parole unice si puternice chiar și după ce i sa spus de mai multe ori să nu partajeze sau să repete parolele sau să folosească cuvinte din dicționar în ele.

    Dacă datele dvs. au fost afectate de hack-ul Dropbox, luați măsurile de precauție necesare pentru a vă asigura informațiile personale. Puneți ceva efort în parolele dvs. sau obțineți un manager de parole. Oh, și banda peste camera dvs. de laptop sau webcam atunci când nu este în uz. Niciodată nu poți fi prea atent.

    (Coperta fotografie prin GigaOm)

    Ce înseamnă etichetele de pe porturile HDMI ale televizorului dvs. (și când acesta are importanță)
    Ce face Emoji prietenul Snapchat de fapt
    Ce este & #% $ un CryptoKitty?
    Articolul următor
    Ce naiba face Valve chiar mai face (în afară de a lua banii noștri)
    Articolul precedent
    Ce arbore Amazon Dash poate (și nu poate) face