Μετά από τις αναφορές για τεράστια παραβίαση των διακομιστών της Google που οδήγησε σε υποτιθέμενη προσβολή 5 εκατομμυρίων διευθύνσεων ηλεκτρονικού ταχυδρομείου, διάφοροι ιστότοποι υποδεικνύουν ότι οι αναγνώστες θα πρέπει να ελέγχουν εάν έχουν πέσει θύματα εισάγοντας τις διευθύνσεις ηλεκτρονικού ταχυδρομείου τους σε "εργαλεία ελέγχου" αν μια διεύθυνση ηλεκτρονικού ταχυδρομείου βρίσκεται σε μια λίστα με διαπιστευτήρια που έχουν παραβιαστεί.
Το πρόβλημα είναι ότι μερικά από αυτά τα εργαλεία ελέγχου δεν ήταν εξίσου νόμιμα με τις ιστοσελίδες που συνδέονταν με αυτές να μπορούσαν να ελπίζουν ...
5 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου: η αλήθεια
Αναφέρεται εκείνη τη στιγμή ως μια τεράστια διαρροή 5 εκατομμυρίων χρηστών και κωδικών πρόσβασης λογαριασμού Gmail, σύντομα διαπιστώθηκε ότι η ιστορία ήταν, καλά, ακριβώς αυτό: μια ιστορία.
Εξηγώντας το λίγο αργότερα, η Google αποκάλυψε ότι λιγότερο από το 2% των συνδυασμών ονόματος χρήστη / κωδικού πρόσβασης ήταν ακριβείς και ότι τα δικά τους εργαλεία ασφάλειας σύνδεσης θα έπαιρναν την πλειοψηφία αυτών.
Διευκρίνισαν επίσης ότι τα διαπιστευτήρια δεν έχουν καταστραφεί από τους δικούς τους διακομιστές, αλλά από άλλους ιστότοπους:
Είναι σημαντικό να σημειωθεί ότι σε αυτή την περίπτωση και σε άλλα, τα διερχόμενα ονόματα χρήστη και κωδικοί πρόσβασης δεν ήταν το αποτέλεσμα παραβίασης των συστημάτων Google. Συχνά, τα διαπιστευτήρια αυτά λαμβάνονται με συνδυασμό άλλων πηγών.
Για παράδειγμα, αν επαναχρησιμοποιήσετε το ίδιο όνομα χρήστη και κωδικό πρόσβασης σε ιστότοπους και ένας από αυτούς τους ιστότοπους γίνεται πειρατεμένος, τα διαπιστευτήριά σας θα μπορούσαν να χρησιμοποιηθούν για να συνδεθούν με τους άλλους.
Έτσι, ένας λογαριασμός του Gmail που επισημάνθηκε σε μια προηγούμενη παραβίαση - υψηλό προφίλ ή με άλλο τρόπο - θα μπορούσε να ήταν ένας από εκείνους στην απόρριψη δεδομένων των διαπιστευτηρίων στα χέρια των «χάκερ». Ουσιαστικά, οι πληροφορίες που ενδεχομένως ήταν ήδη σε απευθείας σύνδεση σε μία ή την άλλη μορφή, οι λογαριασμοί του Gmail κρέμονται από διάφορες πηγές.
Αλλά πώς έγινε αυτή η ιστορία τόσο γρήγορα; Πιθανώς με τη βοήθεια ενός μεγάλου, στρογγυλού αριθμού όπως τα 5 εκατομμύρια, και το έξυπνο τράβηγμα των χάκερ που έγραψε τους κωδικούς πρόσβασης λογαριασμού σε ένα ρωσικό φόρουμ Bitcoin. Πέτα σε ένα ηλεκτρονικό εργαλείο ελέγχου που επιβεβαιώνει αν ο δικός σας λογαριασμός ηλεκτρονικού ταχυδρομείου βρίσκεται στο χωματόδρομο και έχετε μια μεγάλη ιστορία ειδήσεων.
Φυσικά, φαίνεται πιθανό ότι το isleaked.com δεν είναι ο ιστότοπος που οι άνθρωποι το σκέφτονται.
Πώς λειτουργεί ένας ψεύτικος έλεγχος λογαριασμού ηλεκτρονικού ταχυδρομείου
Έλεγχος μιας διεύθυνσης ηλεκτρονικού ταχυδρομείου σε μια βάση δεδομένων (που μπορεί να είναι SQL, Access ή ακόμα και ένα αρχείο κειμένου) Τι είναι μια βάση δεδομένων, ούτως ή άλλως [MakeUseOf Εξηγεί] Τι είναι μια Βάση Δεδομένων, ούτως ή άλλως [MakeUseOf Εξηγεί] Για έναν προγραμματιστή ή μια τεχνολογία ενθουσιώδη, η ιδέα μιας βάσης δεδομένων είναι κάτι που μπορεί πραγματικά να θεωρηθεί δεδομένο, ωστόσο, για πολλούς, η έννοια της ίδιας της βάσης δεδομένων είναι λίγο αλλοδαπός .... Διαβάστε περισσότερα) των λογαριασμών ηλεκτρονικού ταχυδρομείου που έχουν καταστραφεί είναι σχετικά απλή. Σε συνδυασμό με ένα εύκολα κατεβάσει σενάριο, ένας τέτοιος ιστότοπος θα μπορούσε να ρυθμιστεί σε περίπου 30 λεπτά.
Τροία Hunt, εν τω μεταξύ, έχει μια πολύ καλύτερη προσέγγιση, και γι 'αυτό θα πρέπει να χρησιμοποιείτε την ιστοσελίδα του για να ελέγξετε για τη διαρροή των διαπιστευτηρίων σας κάθε φορά που διαβάζετε ή ακούτε ένα hack λογαριασμό.
Όπως εξηγείται στο ιστολόγιό του, ο Hunt έχει κατασκευάσει το I Have Been Pwned ;, ένας νόμιμος ιστότοπος (Hunt είναι ένα Microsoft MVP για την ασφάλεια προγραμματιστών) που έχει σχεδιαστεί για τους μέσους χρήστες να πληκτρολογούν τη διεύθυνση ηλεκτρονικού ταχυδρομείου τους και να μάθουν αν έχουν χάσει ή όχι. Χρησιμοποιώντας δεδομένα που υποβάλλονται σε ιστότοπους όπως το Pastebin.com, σας λέει ακόμη και ποια παραβίαση είναι υπεύθυνη για την παρουσία του λογαριασμού σας ηλεκτρονικού ταχυδρομείου στη βάση δεδομένων του.
Ψάχνετε για έναν νόμιμο έλεγχο λογαριασμού ηλεκτρονικού ταχυδρομείου με hacking;
Όταν εμφανιστούν τα αποτελέσματα, ο ιστότοπος εμφανίζει το όνομα της ιστοσελίδας από την οποία διαρρέουν τα στοιχεία του λογαριασμού σας. Ας ελπίσουμε ότι ο ιστότοπος θα σας έστειλε μήνυμα ηλεκτρονικού ταχυδρομείου ή θα έκανε μια ανακοίνωση.
(Φυσικά, θα πρέπει να ανησυχείτε ότι ο λογαριασμός ηλεκτρονικού ταχυδρομείου σας έχει πειραχτεί, θα πρέπει να αλλάξετε τον κωδικό πρόσβασής σας ούτως ή άλλως. Να θυμάστε να το κάνετε ασφαλές και αξιοσημείωτο 6 Συμβουλές για τη δημιουργία ενός Unbreakable κωδικό που μπορείτε να θυμάστε 6 Συμβουλές για τη δημιουργία ενός Unbreakable κωδικό που εσείς Μπορεί να θυμάται Εάν οι κωδικοί πρόσβασης δεν είναι μοναδικοί και άθλιοι, ίσως ανοίξετε την πόρτα και καλέστε τους ληστές για μεσημεριανό γεύμα.
Όπως μπορείτε να δείτε από την παραπάνω εικόνα, ο λογαριασμός μου ηλεκτρονικού ταχυδρομείου ήταν ένας από τους πολλούς που ανακτήθηκαν στην μαζική παραβίαση του Adobe του 2013. Θα πρέπει να χρησιμοποιήσετε τις πληροφορίες που παρέχει η ιστοσελίδα του Hunt για να δράσει άμεσα, αν και γνωρίζετε ότι ακόμα και όταν ο κωδικός σας έχει αλλάξει, η διεύθυνση ηλεκτρονικού ταχυδρομείου σας θα παραμείνει στην τοποθεσία.
Εάν είναι πρακτικό, μπορεί να είναι χρήσιμο να αλλάξετε τη διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποιείτε με τους λογαριασμούς σας στο διαδίκτυο.
Η Due Diligence δεν πρέπει να είναι ένα πράγμα του παρελθόντος
Ένα ζωτικό στοιχείο της δημοσιογραφίας είναι η δέουσα επιμέλεια. τον έλεγχο των γεγονότων. Η απλή ανατροπή των δελτίων τύπου δεν αρκεί. Οποιοσδήποτε συγγραφέας, ανεξάρτητα από το αν το περιεχόμενό του για $ 1 ανά 1000 λέξεις ή έχει καταβληθεί σε ένα κορυφαίο όνομα στη δημοσίευση, μπορεί να το κάνει αυτό.
Δυστυχώς, στον Παγκόσμιο Ιστό, δεν συμβαίνει αρκετό.
Λίγα λεπτά από τον έλεγχο των πραγματικών περιστατικών θα είχαν δείξει ότι οι 5 εκατομμύρια διευθύνσεις ισχυρίζονται ότι ήταν μια κατασκευή. Όπως αναφέρθηκε την εποχή εκείνη, οι διευθύνσεις είχαν κλαδευτεί από μια συλλογή προηγούμενων διαρροών Gmail Passwords διαρροή σε απευθείας σύνδεση, Microsoft Drops Windows Phone, και Περισσότερα ... [Tech News Digest] Gmail Passwords διαρροή σε απευθείας σύνδεση, Microsoft Σταγόνες Windows Phone, και Περισσότερα ... [Tech News Digest] Επίσης, αρνητικές κριτικές, Deezer στις ΗΠΑ, Google Pyramids, το NES 3DS και μια φωτίζουσα μηχανή Rube Goldberg. Διαβάστε περισσότερα . Οι ρώσοι χάκερ μπόρεσαν να συγκεντρώσουν μια λίστα αντί να παραβιάζουν την ασφάλεια της Google.
Με ιδιαίτερη υποψία, εν τω μεταξύ, ήταν το site που συνιστάται από πολλούς ιστότοπους για να ελέγχει τα μηνύματα ηλεκτρονικού ταχυδρομείου, isleaked.com . Περιέργως καταχωρημένο μόλις δύο ημέρες πριν από τη διαρροή, στη Ρωσία, η ξαφνική του ύπαρξη ήταν είτε εξαιρετικά τυχαία είτε προγραμματισμένη.
Όπως πάντα λέω, δεν υπάρχουν συμπτώσεις στην ηλεκτρονική ασφάλεια.
Σε τελική ανάλυση, ποιος καλύτερος τρόπος για να επιβεβαιώσετε τη λίστα των διευθύνσεων που ισχυρίζεστε ότι έχετε hacked από το να πάρετε τους κατόχους του λογαριασμού για να επαληθεύσετε αν εξακολουθούν να τις χρησιμοποιούν ή όχι; Είναι ο τρόπος λειτουργίας των spammers - οι νεκρές διευθύνσεις είναι άχρηστες, γι 'αυτό και πολλά ηλεκτρονικά μηνύματα spam σας ζητούν να απαντήσετε. Η απάντησή σας καταγράφεται και η διεύθυνση διατηρείται.
Ο checker e-mail διαρροής isleaked.com θα μπορούσε εύκολα να είναι μια πιο εξελιγμένη προσέγγιση. Ενώ ισχυρίζονται:
Δεν συλλέγουμε τα μηνύματα ηλεκτρονικού ταχυδρομείου, τις διευθύνσεις URL / διευθύνσεις IP, τα αρχεία καταγραφής πρόσβασης και τα αποτελέσματα ελέγχου. Είτε δεν κάνουμε τίποτα επιβλαβές με τη συσκευή σας κατά τη διάρκεια της δοκιμής!
... δεν υπάρχει κανένας λόγος να εμπιστευτείτε τον ιστότοπο. Ο Troy Hunt, ο οποίος έχει τη φήμη να υποστηρίξει, εξηγεί πώς λειτουργεί ο ιστότοπός του, οπότε είναι λογικό να το χρησιμοποιήσετε.
Η ετυμηγορία: Μην αντιδράς χωρίς τα πραγματικά περιστατικά
Αυτό που μπορούμε να διδαχθούμε από αυτό είναι ότι κανείς δεν πρέπει να ενεργεί επί των ισχυρισμών των παραβιάσεων δεδομένων και των αχρήστων χωρίς να έχει τα πλήρη γεγονότα. Υπάρχουν απλά πάρα πολλές μεταβλητές που πρέπει να ληφθούν υπόψη.
Με τους ισχυρισμούς hack του Gmail, φαίνεται μια ασφαλής υπόθεση ότι οι υποτιθέμενοι χάκερ απλώς επαληθεύουν τη συλλογή διευθύνσεων που πιθανώς χρησιμοποιούν σε διάφορες εκστρατείες ανεπιθύμητης αλληλογραφίας.
Ορισμένοι ήταν γνήσιοι, άλλοι έληξαν.
Ο καλύτερος ιστότοπος για να ελέγξετε αν το ηλεκτρονικό ταχυδρομείο σας έχει hacked και βρήκε τον τρόπο του σε ένα site όπως το Pastebin.com έχει hasibeenpwned.com.
Κατά ειρωνικό τρόπο, όσον αφορά τις 5 εκατομμύρια διευθύνσεις Gmail που υποτίθεται ότι έχουν καταστραφεί από την Google, ήταν ο τύπος της τεχνολογίας που ήταν πραγματικά pwned.
Rob Hyrons μέσω του Shutterstock