Forside Sikkerhed Er hackede e-mail-kontokontrolværktøjer ægte eller en fidus?

Er hackede e-mail-kontokontrolværktøjer ægte eller en fidus?

  • Mark Lucas
  • 0
  • 2430
  • 365
Reklame

Efter nyheden om et stort brud på Googles servere, der resulterede i, at påståede 5 millioner e-mail-adresser blev hacket, antydede forskellige websteder, at læserne skulle kontrollere, om de var blevet ofre ved at indtaste deres e-mail-adresser i “kontrolværktøjer” - websteder, der kan bestemme, om en e-mail-adresse findes på en liste med hacket legitimationsoplysninger.

Problemet er, at nogle af disse kontrolværktøjer ikke var så legitime, som de websteder, der linker til dem, måske havde håbet ...

5 millioner e-mail-adresser: Sandheden

Det blev rapporteret på det tidspunkt som en massiv lækage på 5 millioner brugernavne og adgangskoder til Gmail-kontoen, og det viste sig snart, at historien var, vel, netop det: en historie.

Google forklarede det lidt senere og afslørede, at mindre end 2% af kombinationerne af brugernavn / adgangskode var nøjagtige, og at deres egne login-sikkerhedsværktøjer ville have fanget størstedelen af ​​disse.

De præciserede også, at legitimationsoplysningerne ikke blev hacket fra deres egne servere, men fra andre websteder:

Det er vigtigt at bemærke, at i dette tilfælde og i andre var de lækkede brugernavne og adgangskoder ikke et resultat af brud på Google-systemer. Ofte opnås disse legitimationsoplysninger gennem en kombination af andre kilder.

Hvis du f.eks. Genbruger det samme brugernavn og adgangskode på tværs af websteder, og et af disse websteder bliver hacket, kan dine legitimationsoplysninger bruges til at logge ind på de andre.

Så en Gmail-konto, der blev hentet i et tidligere overtrædelse - høj profil eller på anden måde - kunne have været en af ​​dem i datadumpen med legitimationsoplysninger i hænderne på “hackere”. I det væsentlige oplysninger, der muligvis allerede har været online i en eller anden form, Gmail-konti krybbet fra flere kilder.

Men hvordan gik denne historie mainstream så hurtigt? Sandsynligvis ved hjælp af et stort, rundt antal som 5 millioner, og den smarte snoreudtrækning af hackere, der placerede kontoadgangskoder på et russisk Bitcoin-forum. Smid et online kontrolværktøj, der bekræfter, om din egen e-mail-konto er i dump, og du har en stor nyhed.

Selvfølgelig ser det sandsynligvis ud isleaked.com er ikke det websted, folk troede, det var.

Sådan fungerer en falsk hacket e-mail-kontokontrol

Kontrol af en e-mail-adresse mod en database (som kan være SQL, Access eller endda en tekstfil. Hvad er en database, alligevel? [MakeUseOf forklarer] Så hvad er en database, alligevel? [MakeUseOf forklarer] For en programmør eller en teknologientusiast , begrebet en database er noget, der virkelig kan tages for givet. Men for mange mennesker er begrebet en database i sig selv en smule fremmed ...) af hacket e-mail-konti er relativt ligetil. Kombineret med et let downloadet script kan et sådant websted konfigureres på 30 minutter eller deromkring.

Troy Hunt har i mellemtiden en meget bedre fremgangsmåde, og derfor skal du bruge hans websted til at kontrollere, om dine legitimationsoplysninger lækker, hver gang du læser eller hører om en kontohack.

Som forklaret på hans blog har Hunt bygget Have I Been Pwned?, Et legitimt websted (Hunt er en Microsoft MVP for Developer Security) designet til gennemsnitlige brugere til at indtaste deres e-mail-adresse og finde ud af, om de er blevet hacket eller ej. Ved hjælp af data, der er sendt til websteder som Pastebin.com, fortæller det dig endda, hvilken overtrædelse der er ansvarlig for din e-mail-kontos tilstedeværelse i sin database.

På udkig efter en legitim hacket e-mail-kontokontrol?

Når resultaterne vises, viser webstedet navnet på det websted, som dine kontooplysninger blev lækket fra. Forhåbentlig ville dette websted have sendt dig privat eller sendt en meddelelse.

(Skulle du selvfølgelig være bekymret for, at din e-mail-konto er blevet hacket, skal du alligevel ændre din adgangskode. Husk at gøre det sikkert og mindeværdigt. 6 tip til oprettelse af en ikke-brytbar adgangskode, som du kan huske 6 tip til oprettelse af en uknuselig adgangskode, som du Kan huske Hvis dine adgangskoder ikke er unikke og uknuselige, kan du lige så godt åbne hoveddøren og invitere røverne ind til frokost.)

Som du kan se på billedet ovenfor, var min e-mail-konto en af ​​de mange, der blev hentet i den massive Adobe-overtrædelse fra 2013. Du skal bruge de oplysninger, som Hunt's websted giver til at handle straks, selvom du er opmærksom på, at selv når din adgangskode er blevet ændret, din e-mail-adresse forbliver på webstedet.

Hvis det er praktisk, kan det også være værd at overveje at ændre den e-mail-adresse, du bruger med dine online-konti.

Den rette omhu bør ikke være noget af fortiden

Et vigtigt element i journalistik er due diligence; kontrol af fakta. Det er ikke nok at genoprette pressemeddelelser. Enhver forfatter, uanset om det kurerer indhold til $ 1 pr. 1000 ord eller lønnet som et øverste navn i udgivelsen, kan gøre det.

Desværre sker det ikke på World Wide Web.

Et par minutters faktakontrol ville have vist, at de 5 millioner adresser, der hævdes, var en fabrikation. Som vi rapporterede på det tidspunkt, var adresserne blevet krybbet fra en samling af tidligere lækager Gmail-adgangskoder Læk online, Microsoft dropper Windows Phone og mere… [Tech News Digest] Gmail-adgangskoder lækker online, Microsoft slipper Windows Phone og mere… [ Tech News Digest] Også negative anmeldelser, Deezer i USA, Google Pyramider, NES 3DS og en lysende Rube Goldberg-maskine. . De russiske hackere kunne sortere en liste snarere end at krænke Googles sikkerhed.

Af særlig mistanke blev webstedet i mellemtiden anbefalet af mange websteder til at kontrollere e-mails, isleaked.com. Mærkeligt registreret kun to dage før lækagen i Rusland var dens pludselige eksistens enten enormt heldig eller planlagt.

Som jeg altid siger, er der ingen tilfældigheder i online-sikkerhed.

Hvad er trods alt, hvilken bedre måde at bekræfte listen over adresser, som du hævder at have hacket, end at få kontoejere til at kontrollere, om de stadig bruger dem eller ej? Det er modus for spammere - døde adresser er værdiløse, hvorfor mange spam-e-mails beder dig om at svare. Dit svar logges, og adressen bevares.

Lækemailcheck isleaked.com kunne let være en mere sofistikeret tilgang. Mens de hævder:

Vi samler ikke dine e-mails, URL'er / IP-adresser, adgangslogger eller tjekker resultater. Enten gør vi ikke noget skadeligt med din enhed under testen!

... der er lille grund til at stole på webstedet. Troy Hunt, der har et ry for at opretholde, forklarer, hvordan hans websted fungerer, så det giver mening at bruge det.

Dommen: Reager ikke uden de faktiske omstændigheder

Det, vi kan lære af dette, er, at ingen skal handle påstander om dataovertrædelser og hacks uden at besidde de fulde kendsgerninger. Der er simpelthen for mange variabler til at tage højde for.

Med Gmail-hack-kravene ser det ud til at være en sikker antagelse om, at de påståede hackere simpelthen verificerede deres samling af adresser, formodentlig brugt i forskellige spam-kampagner.

Nogle var ægte, andre var længe udløbet.

Det bedste websted til at kontrollere, om din e-mail er blevet hacket og fundet vej til et websted som Pastebin.com er haveibeenpwned.com.

Ironisk nok for så vidt angår de 5 millioner Gmail-adresser, der angiveligt blev hacket fra Google, var det teknologipressen, der virkelig blev pwned.

Rob Hyrons via Shutterstock




Endnu ingen kommentarer

Sådan bruges Google Maps til at se ventetider på restauranter, før du rejser
Internet
Sådan gør du websteder mere læsbare med en brugerdefineret linjehøjde
Internet
5 websteder til søde kæledyr og dyrbilleder, GIF'er og videoer, du ikke kendte
Internet
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.