Kotisivu » Internet » Mitä Dropbox Hack opettaa sinulle Web-tietoturvan tilasta

    Mitä Dropbox Hack opettaa sinulle Web-tietoturvan tilasta

    Viime viikolla Dropbox oli tehnyt otsikot yli hakata, joka näki 68 miljoonan Dropbox-tilin sähköpostiosoitteet ja salasanat vaarantuivat. Kaikille Dropbox-käyttäjille tämä on tietysti huolenaihe, varsinkin jos tallennat mitään Dropboxiin, olipa kyse sitten henkilökohtaisista tai töistä.

    Valokuvia, asiakirjoja, tietoja jne. Voitaisiin käyttää tietämättäsi käyttämällä sähköpostiosoitettasi ja salasanaa, joka on kadonnut kyseisessä hakata. Hyvä uutinen on ei ole raportoitu mitään haittaohjelmia, jotka tulisivat ulos Dropboxista, niin kaukana. Tämä ei kuitenkaan tarkoita, että ei ole mitään huolta.

    Tietoja Dropboxin hakata

    Ensinnäkin saamme tämä pois tieltä: Dropboxin hakata ei juuri tapahtunut viime viikolla. Hackissä varastetaan yli 68 miljoonaa sähköpostiosoitetta ja salasanaa, mutta itse hakata tapahtui neljä vuotta sitten, vuonna 2012.

    Sen sijaan, että kuvittaisiin Hollywood-hakkereiden kohtausta (joista monet saivat hakkerointien hirvittävän väärin), hakata tuli johtuu inhimillisestä virheestä.

    Hakkerit olivat käyttäneet käyttäjätunnuksia ja salasanoja toisesta tietosuojasta kirjautumalla Dropbox-tileihin. Yksi näistä tileistä kuului Dropboxin työntekijälle, jotka olivat käyttäneet samaa salasanaa sekä rikkoutuneelle sivustolle että Dropbox-tilille.

    Sattumalta sama työntekijä oli täynnä kansiota asiakirjat, jotka sisältävät 68.680.741 Dropbox-tilien sähköpostiosoitteet yhtä hyvin kuin hajautetut salasanat. Peli, asetettu ja ottelu.

    1. Dropbox ei ollut yksin; LinkedIn oli samalla hakattu

    Toukokuussa 2016 LinkedIn ilmoitti jotain samanlaista kuin viime viikon Dropbox-hakata. He kehottivat LinkedIn-käyttäjiä vaihtamaan salasanansa "parhaiden käytäntöjen vuoksi" sen jälkeen, kun he olivat tietoisia tapahtuneiden sähköpostiviestien ja salasanojen varkaudesta - arvasit sen - vuonna 2012.

    Jos napsautit tätä linkkiä edellisessä kappaleessa, ei ole mitään mainintaa siitä, kuinka suuri tietojen katoaminen oli kiireellisyys on ilmeinen kanssa usein päivityksiä sivulle.

    Se tapahtui yli 117 miljoonaa LinkedIn-tilit vaikuttivat, vaikka todellinen numero on mahdollista voisi olla jopa 167 miljoonaa.

    2. Miksi hakkeroitu salasana palaa nyt?

    Sekä Dropboxin että LinkedInin tietosarjat ovat raportoitu kauppaa pimeässä verkossa nyt (tai he olivat johtaneet jopa viikkoa sitten).

    LinkedInin sarja oli alun perin myynnissä 2 200 dollaria, kun taas Dropboxin hinta on hieman yli 1200 dollaria. Näiden tietosarjojen arvo pienenee, mitä kauemmin ne ovat siellä, koska kun suurin osa käyttäjistä on muuttanut salasanoja, tietosarjat ovat vain vähän tai ei ollenkaan.

    Mutta miksi nyt? Neljä vuotta hakata? Lähin, johon sain vastauksen, tulee Troy Huntilta (hänestä mainitaan melko vähän tässä virassa, ja melko paljon kaikkialla muualla), joka kirjoittaa paljon kyberturvallisuudesta. Mainitsen vain sen, mitä hänen on sanottava:

    On väistämättä olemassa katalyytti, mutta se voi olla monia eri asioita; hyökkääjä lopulta päättää rahoittaa sen, he itse ovat kohdennettuja ja menettävät tietojaan tai lopulta kaupankäynnin avulla jotain muuta arvoa.

    3. Häkit ja tiedonsiirrot tapahtuvat useammin kuin kaikki huolehtivat myöntämisestä

    Kun lukenut tästä Dropbox-hakata, tulin tämän tietokannan hakemistoon, Vigilante.pw sivustoon, jossa on tietoja tietojen rikkomisesta. Tämän kirjoituksen aikana koko tietokanta sisältää tietoja 1470 rikkomisesta, joiden määrä on yli 2 miljardia vaarantettua tiliä.

    Suurin erä on Myspace-hack vuonna 2013. Tämä hack vaikutti enemmän kuin 350 miljoonaa tiliä.

    Samassa hakemistossa Dropboxin 68 miljoonaa merkintää on yhdeksänneksi suurin tietolähteiden historiassa; LinkedIn on viidenneksi suurin, vaikka numero korjataan 167 miljoonaan, mikä tekisi siitä toiseksi suurimman tietokannan hakemistossa.

    (Huomaa, että Dropboxin ja LinkedInin tietolähteiden päivämäärät ovat vuoden 2012 sijasta vuoden 2012 sijasta.)

    Se ei kuitenkaan ole mitenkään arvoista, että surullisen Ashley Madisonin häkki samoin kuin pelinvaihtava RockYou hack oli ei luetteloon. Joten mitä todella tapahtuu siellä on suurempi kuin mitä näet sivustossa.

    isibeenpwned.com on myös toinen lähde, jota voit käyttää katsomaan verkkopalveluja ja -työkaluja haittaavien hakkuiden ja tietojenkeräysten vakavuus.

    Sivustoa ylläpitää Troy Hunt, tietoturva-asiantuntija, joka kirjoittaa säännöllisesti tietoja tietoturvaloukkauksista ja tietoturvaongelmista, kuten tästä viimeisestä Dropbox-hakata. Huomaa: sivustossa on myös ilmainen ilmoitustyökalu, joka ilmoittaa, jos joku sähköpostisi on vaarantunut.

    Löydät luettelon sotilaspaikoista, joiden tiedot on yhdistetty sivustoon. Tässä on luettelo 10 parasta rikkomuksesta (katso kaikki nämä numerot). Etsi täydellinen luettelo täältä.

    Yhä kanssani? Se pahenee paljon.

    4. Jokaisella tietoturvalla hakkerit pääsevät parempaan halkeilemalla salasanoja

    Tämä viesti on käytössä Ars Technica Jeremi Gosney, ammattimainen salasanan krakkausyksikkö kannattaa lukea. Se on lyhyt mitä enemmän tietosuojaa ilmenee, sitä helpompi hakkerit purkautuvat tulevaisuus salasanat.

    RockYou hack tapahtui jo vuonna 2009: 32 miljoonaa salasanaa tavallisessa tekstissä oli vuotanut ja salasanojen krakkauslaitteet pääsivät sisälle katsomaan, miten käyttäjät luovat ja käyttävät salasanoja.

    Se oli häkki, joka osoitti kuinka vähän ajattelimme antamaan salasanamme esimerkiksi. 123456, Minä rakastan sinua, Salasana. Mutta vielä tärkeämpää:

    RockYou-rikkominen mullisti salasanan halkeilun.

    32 miljoonan unhashedin, suolaamattoman, suojaamattoman salasanan saaminen ylitti pelin ammattimaisille salasanakrikoileille koska ne eivät olleet niitä, jotka suorittivat tietosuojaa, he ovat nyt valmiita rikkomaan salasanahälytyksiä, kun tietojenkeruu tapahtuu. RockYou-hakemistosta saadut salasanat päivittivät sanakirjahyökkäysluettelonsa varsinaisilla salasanoilla, joita ihmiset käyttävät todellisessa elämässä, mikä edistää merkittävästi, nopeammin ja tehokkaammin halkeilua.

    Seuraavat tietojen rikkomiset tulisivat: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - ja joitakin laitteistopäivityksiä, kirjailija oli voinut murtautua muutaman toimialaryhmän kanssa 173,7 miljoonaa LinkedIn-salasanaa pelkästään 6 päivää (Joka on 98% koko tietosarjan). Niin paljon turvallisuudesta, huh?

    5. Salaa salasanat - auttavatko heitä?

    Tietosuojasta kärsineessä sivustossa on taipumus tuoda esiin sanat hajautetut salasanat, suolatut salasanat, hash-algoritmit ja muut samankaltaiset termit, kuin jos kertoisitte, että salasanat ovat salattu, ja ergo tilisi on turvallinen (Huh huh). Hyvin…

    Jos haluat ymmärtää mitä hajautusta ja suolaus on, miten he työskentelevät ja miten he saavat säröillä, tämä on hieno artikkeli lukea.

    Käsitteiden yksinkertaistamisen vaarana on tässä:

    • Hash-algoritmit suojaa salasanaa. Algoritmi peittää salasanan niin, että kolmas osapuoli ei pysty helposti tunnistamaan sitä. Kuitenkin hashit voivat olla halkeamia sanakirjahyökkäyksillä (mikä on kohta 6) ja raakojen voimien hyökkäykset.
    • suolaus lisää satunnaisen merkkijonon salasanaan, ennen kuin se on hajautettu. Tällä tavoin, vaikka sama salasana haudataan kahdesti, lopputulos on erilainen suolan vuoksi.

    Palaa Dropboxin häkkiin, puolet salasanoista on SHA-1-hajautuksen alla (suoloja ei ole sisällytetty, mikä tekee niistä mahdottomaksi halkeilua), kun taas toinen puoli on bcrypt-hajalla.

    Tämä sekoitus osoittaa siirtymistä SHA-1: stä bcryptiin, joka oli siirtymässä eteenpäin, koska SHA1: n käytöstä poistetaan asteittain vuoteen 2017 mennessä, ja se korvataan SHA2: lla tai SHA3: lla..

    On kuitenkin tärkeää ymmärtää, että "hajauttaminen on vakuutus", joka vain hidastaa hakkereita ja keksejä. Vaikka nämä lisäsuojaukset antavat salasanoja "vaikeasti purettavissa", se ei tarkoita, että ne ovat mahdotonta murtaa.

    Parhaimmillaan huuhtelu ja suolaaminen vain osta käyttäjien aikaa, tarpeeksi muuttaa salasanojaan estääkseen tilinsä ostamisen.

    6. Häkkien jälkeiset seuraukset (tietojen rikkominen)

    (1) Hackit voivat olla suhteellisen hyvänlaatuisia kuin Dropboxin hakata tai niillä on tuhoisia tuloksia, kuten Ashley Madisonin tietosuojaa.

    Jälkimmäisessä 25Gt dataa, mukaan lukien todelliset kotiosoitteet, luottokorttitapahtumat ja niiden käyttäjien hakuhistoria, vuotiin. Sivuston luonteen vuoksi oli monia tapauksia, joissa julkinen häpeä, kiristys, kiristys, avioerot ja jopa itsemurhat.

    Hack paljasti myös väärennettyjen tilien luomisen ja chatbotsin käytön houkutella maksavia asiakkaita kirjautumaan tilille.

    (2) Häkit myös osoittavat välinpitämättömyytemme valittaessa salasanoja - eli kunnes rikkominen on tapahtunut.

    Olemme luoneet tämän keskustellessamme RockYou-rikkomisesta # 4: ssä. Jos verkossa on paljon tärkeitä tietoja, on hyvä idea käytä salasananhallintasovellusta. Ja mahdollistaa kaksivaiheisen todennuksen. Ja älä koskaan käytä uudelleen salasanoja, jotka ovat olleet tietosuojaa. Ja varmista, että muut ihmiset työskentelevät toteuttaa samat turvatoimenpiteet.

    Jos haluat ottaa sen askeleen pidemmälle, rekisteröi ilmoitustyökalu, joka ilmoittaa, kun sähköpostiosoitteesi liittyy tietosuojaan.

    (3) Hacks näyttää sivuston välinpitämättömyys käyttäjän salasanojen suojaamisessa ja tiedot.

    Jos kyseessä on Dropbox vs LinkedIn, näet Dropboxin otti parempia ja laskennallisia toimenpiteitä vahingon minimoimiseksi tällaisesta tietosuojasta.

    Dropbox käytti parempia hajautus- ja suolausmenetelmiä, lähetti sähköpostiviestejä käyttäjille, jotka kehottivat heitä vaihtamaan salasanansa mahdollisimman pian, tarjoamaan kahden tekijän todentamisen ja Universal 2nd Factorin (U2F), joka käyttää suojausavainta, ja teki henkilöstöpolitiikan muutoksia (Dropboxin työntekijät nyt hallitse salasanojaan käyttämällä 1Password-tunnusta, yritystilin salasanoja ei voi enää käyttää uudelleen, ja kaikki sisäiset järjestelmät ovat 2FA: ssa.

    LinkedInin erittelystä tämä artikkeli on ehkä perusteellisempi ja sopivampi.

    Käärimistä

    Ollakseni rehellinen, kaiken tämän oppiminen vain Dropboxin hakkeroinnista on ollut silmiinpistävää ja hirvittävää kokemusta. Me, väestö, aliarvioi ainutlaatuisten ja vahvojen salasanojen tarve vaikka olet kertonut useita kertoja, ettet koskaan jaa tai toista salasanoja, tai käytä sanakirjasanoja niihin.

    Jos tiedot vaikuttavat Dropboxin hakata, ota tarvittavat varotoimet henkilötietojen suojaamiseksi. Laita salasanojasi hieman tai saat salasananhallinnan. Voi, ja nauhoita kannettavan kameran tai web-kameran päälle, kun sitä ei käytetä. Et voi koskaan olla liian varovainen.

    (Kannen kuva GigaOmin kautta)

    Mitä TV n HDMI-porttien merkinnät merkitsevät (ja kun ne ovat tärkeitä)
    Mitä The Friend Friend Emoji itse asiassa tarkoittaa
    Mitä & #% $ on CryptoKitty?
    Seuraava artikkeli
    Mitä helvettiä Valve edes tekee enempää (lisäksi ota rahaa)
    Edellinen artikkeli
    Mitä Amazon Dash Wand voi (ja ei voi) tehdä