Eile õhtul anonüümne häkker väitis, et on tema valduses 7 miljonist paroolist Dropboxi kontodele. Kuigi see väide oli ilmselt vale, näitab see üha tavalisemat viisi, mida häkkerid kasutavad teie paroolidele juurdepääsu saamiseks.
Häkker postitas anonüümsete märkuste saidile Pastebin umbes 400 kasutajanime ja parooli põhiloendi „teaserite” seerias. Mõned Redditi kasutajad suutsid Dropboxi edukalt sisse logida, kasutades postitatud teavet, enne kui ettevõte deaktiveeris kõik lekkinud paroolid.
Aga Dropbox pani väited kiiresti kahtluse alla , eitades selle häkkimist ja väites, et paljud kasutajanimed ja paroolid pole isegi seotud Dropboxi kontodega.
Kust siis paroolid tulevad? Lõppude lõpuks töötasid nad mõnda aega.
Kõige tõenäolisem teabe allikas on kolmanda osapoole sait, mille turvalisus oli halb. Häkkerid teavad, et enamik Interneti-kasutajaid kasutab oma paroole uuesti, nii et nad sihivad sageli harrastusarendajate tehtud väiksemaid rakendusi. Nendel lihtsatel sihtmärkidel on halb turvalisus - seega võidakse kasutajanimesid, paroole või faile salvestada nii, et häkkeritel on neid lihtne varastada.
Hiljutine Snapchati häkkimine , mis nägi veebis ligi 100 000 privaatset fotot ja videot, juhtus seetõttu, et amatöörarendaja ei olnud oma veebisaiti turvaliselt seadistanud. Postituses Snapsaved Facebooki lehel , selgitab saidi anonüümne asutaja, et valesti seadistatud Apache-server jättis failid häkkerite suhtes haavatavaks.
Häkkeritel pole vaja enam proovida sihtida hiiglasi. Miks peaksite vaeva nägema Google'i, Apple'i või Facebooki serveritesse häkkimisega, kui saate sama teabe saamiseks lihtsalt kasutada halvasti ehitatud veebisaiti?
Nüüd näeme, et häkkerid kasutavad uut lähenemist. Selle asemel, et kuude kaupa suurtel saitidel haavatavusi leida, kasutavad nad kolmandate isikute amatöörrakendustest varastatud sisselogimisteavet uuesti. Võimalik, et teave töötab mitmel saidil, nii et nende andmete vahemälude kokku panemine võib kiiresti luua miljonite paroolide loendi.
Septembris Vene häkkerid avaldasid nimekirja 5 miljonist paroolist erinevatele e-posti pakkujatele, sealhulgas Gmailile. See ei olnud uus leke, kuid vanemate paroolilekete kogu, mis on kokku pandud, et tunduda uus. Muidugi, paljud e-posti kontod olid suletud, kuid häkkerid said teavet siiski alla laadida ja kasutada teistele kontodele sissemurdmiseks.
Miks siis häkkerid vana teavet uuesti kasutavad? Harva on tõendeid selle kohta, et nad kasutavad saitidele sisselogimiseks paroole. Selle asemel tundub, et nad lihtsalt postitavad teabe veebi. Või vähemalt postitavad nad osa teabest veebi. Nagu me juba varem mainisime, lekitavad häkkerid osalise paroolide kogumise tiiseritena. Sellega kaasneb sageli taotlus Bitcoini annetuste saamiseks.
Saame kasutada Bitcoini aadresside avalikku olemust, et näha, kui palju häkkerid võrgus paroolide postitamisel võidavad. Seda on sageli vähem, kui nad eeldavad saada. Häkker, kes jagas Dropboxi paroolide kogu sai vaid 8 senti . Samamoodi on häkkinud iCloudi kuulsuste fotode esimese laine taga olev anonüümne foorumiplakat OriginalGuy, avaldas pettumust annetuste väikese nirise pärast see tuli tema teele, märkides:
Muidugi, sain oma Bitcoini aadressiga 120 dollarit, kuid kui mõelda, kui palju aega selle kraami (ma pole häkker, lihtsalt kollektsionäär) hankimiseks kulus, ja raha (maksin ka Bitcoini kaudu palju, et kindel olla (kui seda kraami reedel / laupäeval eraviisiliselt kaubeldi) ei jõudnud ma tõesti lähedale sellele, mida lootsin.
Näeme, et üha rohkem paroole lekib veebis. Harrastusarendajad ei suurenda paroolide turvalisust ja olemasolevad lekked ilmnevad jätkuvalt. Kuigi avalikustatud teave on sageli mitu aastat vananenud (paljud koos Dropboxi paroolidega postitatud e-kirjad inaktiveeriti 2012. aastal), on häkkeritele endiselt väärtuslik koostada suuri e-posti aadresside ja paroolide loendeid, mida kasutada rünnakutel teiste saitide vastu .
Ja juhuks, kui see pole selge, on see ka teie viga: kui kasutate ikka ja jälle samu paroole erinevate rakendustega, ei pea häkkerid nende leidmiseks Apple'i ega Facebooki serveritesse sisenema. Nad lihtsalt tuvastavad kõige nõrgema parooliturvalisusega väiksemad rakendused.
- See lugu esmakordselt ilmus Business Insider.
