Turinys
- Kūrėjas „Troy Hunt“ paskelbė kolekcijos Nr. 1 duomenų pažeidimą.
- Failų kolekcijoje yra milijonai pažeistų el. Pašto adresų ir slaptažodžių.
- Tariamai pažeisti duomenys tariamai gaunami iš 2000 duomenų bazių.
Duomenų pažeidimai šiais laikais tapo tokie įprasti, kad mes beveik juos nutirpėme. Tačiau saugumo tyrinėtojas ir „Ar aš buvau supykęs“ kūrėjas Troy Huntas ką tik pranešė apie duomenų pažeidimą, kuris dar ilgai kenks: 1 kolekcija.
1 kolekcija yra didžiulis failas, kuris neseniai buvo įkeltas į debesies saugyklos paslaugą „Mega“. Faile yra 12 000 atskirų failų, kuriuose yra 87 GB duomenų.
Ko galite paklausti, kas yra duomenys? 772 904 991 unikalūs el. Pašto adresai ir 21 222 975 unikalūs slaptažodžiai. Reikšminga problema yra pavogti slaptažodžiai, suskaidę apsauginę maišalynę. Štai kodėl slaptažodžiai rodomi kaip paprastas tekstas, užuot juos kriptografiškai pakeitus, kai buvo pažeistos svetainės.
Dabar elektroniniu paštu siunčiame 768 253 asmenis, kurie užsiprenumeravo pranešimus, ir dar 39 923, kurie stebi domenus ...
- „Trojos medžioklė“ (@troyhunt) 2019 m. Sausio 16 d
Šie įtrūkę slaptažodžiai leidžia antrą leidimą, vadinamą kredencialų pildymu. Kredencialų įklijavimas yra tada, kai pažeistas vartotojo vardas arba el. Pašto / slaptažodžio deriniai naudojami patekti į kažkieno paskyrą. Užpuolikams nereikia daryti prievartos ar atspėti slaptažodžių - jie gali tiesiog automatizuoti prisijungimus.
Kredencialų pildymas ypač aktualus tiems, kurie visose svetainėse naudoja tą patį vartotojo vardą ir slaptažodį.
Taip yra, kad kolekcijoje Nr. 1 yra beveik 2,7 milijardo derinių. Taip pat atsitinka taip, kad maždaug 140 milijonų el. Pašto adresų ir 10 milijonų slaptažodžių iš kolekcijos Nr. 1 yra nauja duomenų bazėje „Ar aš buvau suplanuotas“.
Nepamirškime ir kolekcijos Nr. 1 decentralizuoto pobūdžio. Ankstesni pažeidimai paprastai turėjo bendrą sidabro pamušalą: kiekvieną pažeidimą buvo galima susieti į vieną svetainę. Ne taip ir su šiuo pažeidimu, kurį sudaro 2000 duomenų bazių pažeidimai.
Šiuo atveju vienintelis įmanomas sidabro pamušalas yra tas, kad Hunt nežino, ar kiekvienas kolekcijos Nr. 1 pažeidimas yra teisėtas. Tačiau Huntas taip pat teigė, kad tai yra „didžiausias pažeidimas, kada nors įkeltas į HIBP“.
Ką turėčiau daryti?
Pirmiausia eikite į „Ar aš jau buvau suplanuotas“ ir įveskite savo el. Pašto adresą. Svetainė leidžia sužinoti, ar nepažeista paskyra, kuri naudoja tą el. Pašto adresą.
Jei jau naudojote programą „Ar aš buvau nusiteikęs“, turėtumėte gauti pranešimą apie pažeidimą. Beveik pusė svetainės vartotojų yra įsivėlę į pažeidimą, todėl atminkite, jei esate narys.
Iš ten spustelėkiteSlaptažodžiai skirtuką viršuje „Ar aš buvau suplanuotas“. Paslėpti slaptažodžiai leidžia sužinoti, ar jūsų slaptažodis nebuvo pažeistas, ir padeda naudoti stiprius slaptažodžius.
Jei turite pažeistą el. Pašto adresą ir slaptažodžius, laikas išvalyti savo slaptažodžių praktiką. Jei svetainė tai palaiko, naudokite dviejų veiksnių autentifikavimą. Tai gali būti nepriekaištinga, tačiau dviejų veiksnių autentifikavimas padeda atgrasyti daugumą tų, kurie gali norėti prieigos prie jūsų paskyros.
Taip pat galite išvengti to paties slaptažodžio naudojimo keliose svetainėse. Pagunda naudoti tą patį slaptažodį patogumo sumetimais, tačiau praktika yra pavojingas dviašmenis kardas.
Galiausiai naudokitės slaptažodžių tvarkytuve. „1Password“, „Dashlane“ ir „LastPass“ yra trys populiariausios parinktys, nors taip pat galite naudoti patikrintą rašiklio ir popieriaus metodą.
O, pakeiskite slaptažodį. Tikrai pakeiskite slaptažodį. Padarykite tai kažkuo sudėtingu, to, ko nerandate žodyne.
