Securitate

Instrumentele de verificare a contului de e-mail sunt hackate Autentic sau o înșelătorie?

Instrumentele de verificare a contului de e-mail sunt hackate Autentic sau o înșelătorie? / Securitate

Urmărind vestea unei mari încălcări a serverelor Google, care a dus la presupunerea că 5 milioane de adrese de e-mail au fost hackate, diferite site-uri sugeră că cititorii ar trebui să verifice dacă au fost victime prin introducerea adreselor de e-mail în “instrumente de verificare” - site-uri web care pot determina dacă o adresă de e-mail se află într-o listă de acreditări hacked.

Problema este că unele dintre aceste instrumente de verificare nu erau la fel de legitime, deoarece site-urile care le-au conectat la ele ar fi sperat ...

5 milioane de adrese de e-mail: Adevărul

A raportat la acea dată ca o scurgere masivă de 5 milioane de utilizatori și parole de cont Gmail, a constatat că povestea a fost, bine, doar că: o poveste.

Explicând-o puțin mai târziu, Google a arătat că mai puțin de 2% din combinațiile de nume de utilizatori / parole erau exacte și că propriile instrumente de securitate pentru conectare ar fi prins majoritatea acestora.

De asemenea, au clarificat faptul că acreditările nu au fost hackate de pe propriile servere, ci din alte site-uri web:

Este important să rețineți că în acest caz și în altele, numele de utilizator și parolele scoase nu au fost rezultatul unei încălcări a sistemelor Google. Adesea, aceste acreditări sunt obținute printr-o combinație de alte surse.

De exemplu, dacă reutilizați același nume de utilizator și aceeași parolă pe site-uri web și unul dintre aceste site-uri este hacked, acreditările dvs. ar putea fi folosite pentru a vă conecta la celelalte.

Deci, un cont Gmail preluat într-o încălcare anterioară - profil înalt sau altfel - ar fi putut fi unul dintre cei care se află în dosarul de date de acreditare în mâinile “hackeri”. În esență, informații care ar fi putut fi deja online într-o formă sau alta, conturile Gmail au fost îngropate din mai multe surse.

Dar cum a ajuns această poveste atât de repede? Probabil cu ajutorul unui număr mare, rotunjit de 5 milioane, și a trăgării inteligente a hackerilor care au postat parolele contului pe un forum rusesc Bitcoin. Aruncați-vă într-un instrument de verificare online care confirmă dacă propriul dvs. cont de e-mail se află în magazie și aveți o știre mare.

Bineînțeles, pare probabil că isleaked.com nu este site-ul pe care oamenii l-au crezut.

Cum funcționează un verificator de cont de e-mail fals

Verificarea unei adrese de e-mail împotriva unei baze de date (care ar putea fi SQL, Access sau chiar un fișier text) Deci, ce este o bază de date, oricum? [MakeUseOf explică] Deci ce este o bază de date, oricum [MakeUseOf explică] Pentru un programator sau un entuziast de tehnologie , conceptul de bază de date este ceva care poate fi cu adevărat luat în considerare. Cu toate acestea, pentru mulți oameni, conceptul de bază de date în sine este un pic străin ... Citește mai mult) de conturi de e-mail hacked este relativ simplă. În combinație cu un script ușor descărcat, un astfel de site ar putea fi setat în aproximativ 30 de minute.

Troy Hunt, între timp, are o abordare mult mai bună, motiv pentru care ar trebui să utilizați site-ul său pentru a verifica scurgeri de acreditări de fiecare dată când citiți sau auziți un cont de hack.

După cum sa explicat pe blogul său, Hunt a construit "Am fost pwned", un site legitim (Hunt este un Microsoft MVP pentru securitate pentru dezvoltatori) destinat utilizatorilor obișnuiți să introducă adresa lor de e-mail și să afle dacă au fost sau nu hackeri. Folosind datele trimise pe site-uri precum Pastebin.com, chiar îți spune care încălcare este responsabilă pentru prezența contului dvs. de e-mail în baza sa de date.

Privind pentru o verificare legitimă a contului de e-mail hacked?

Când rezultatele sunt afișate, site-ul afișează numele site-ului pe care au fost scoase detaliile contului. Sperăm că acel site v-ar fi trimis prin e-mail sau ar fi făcut un anunț.

(Desigur, ar trebui să vă fie îngrijorat că contul dvs. de e-mail a fost hacked, ar trebui să vă schimbați parola, oricum. Amintiți-vă să-l facă sigură și memorabil 6 Sfaturi pentru crearea unei parole indestructibile pe care le puteți aminti 6 Sfaturi pentru crearea unei parole indestructibile pe care le Poate Amintiți-vă Dacă parolele dvs. nu sunt unice și de neîntemeiate, puteți deschide ușor ușa din față și invitați hoții la prânz.

După cum puteți vedea din imaginea de mai sus, contul meu de e-mail a fost unul dintre multele dintre cele regăsite în încălcarea masivă a lui Adobe din 2013. Ar trebui să utilizați informațiile pe care site-ul Hunt le oferă să acționeze imediat, deși conștientizați că chiar și atunci când parola a fost modificată, adresa dvs. de e-mail va rămâne pe site.

Dacă este posibil, modificarea adresei de e-mail pe care o utilizați cu conturile dvs. online ar putea fi, de asemenea, luată în considerare.

Due diligence nu ar trebui să fie un lucru din trecut

Un element vital al jurnalismului este due diligence; verificarea faptelor. Pur și simplu regurgitarea comunicatelor de presă nu este suficientă. Orice scriitor, indiferent dacă scot conținut pentru 1 dolar pe 1000 de cuvinte sau care este salariat la un nume de top în publicare, poate face acest lucru.

Din păcate, pe World Wide Web, nu se întâmplă suficient.

Câteva minute de verificare a faptului ar fi arătat că cele 5 milioane de adrese de revendicări au fost o fabricație. Așa cum am raportat la acea dată, adresele au fost înghesuite dintr-o colecție de scurgerile anterioare Gmail Passwords Online, Microsoft Drops Windows Phone și mai mult ... [Tech News Digest] Gmail Passwords Online, Microsoft Creează Windows Phone și mai mult ... [ Tech News Digest] De asemenea, recenzii negative, Deezer în SUA, Google Pyramids, NES 3DS și o mașină de iluminat Rube Goldberg. Citeste mai mult . Hackerii ruși au reușit să aloce o listă în loc să încalce securitatea Google.

O suspiciune deosebită, între timp, a fost site-ul recomandat de multe site-uri web pentru a verifica e-mailurile, isleaked.com. Curios înregistrată cu doar două zile înainte de scurgerea, în Rusia, existența sa bruscă a fost fie uriașă, fie planificată.

După cum spun întotdeauna, nu există coincidențe în domeniul securității online.

La urma urmei, ce modalitate mai buna de a confirma lista de adrese pe care pretindem ca le-ati hackat decat de a obtine proprietarii de cont pentru a verifica daca ei inca folosesc sau nu? Este modul de operare al spam-urilor - adresele moarte sunt lipsite de valoare, motiv pentru care multe e-mailuri spam vă cer să răspundeți. Răspunsul dvs. este înregistrat și adresa reținută.

Instrumentul de verificare a scurgerilor de e-mail isleaked.com ar putea fi cu ușurință o abordare mai sofisticată. În timp ce ei pretind:

Nu colectăm e-mailurile, adresele URL / adresele IP, jurnalele de acces și nici rezultatele verificării. Fie nu facem nimic dăunător cu dispozitivul în timpul testului!

... există puține motive să ai încredere în site. Troy Hunt, care are o reputație de susținere, explică modul în care funcționează site-ul său, deci este logic să îl folosiți.

Verdictul: Nu reacționează fără fapte

Ceea ce putem învăța din acest lucru este că nimeni nu ar trebui să acționeze asupra pretențiilor de încălcare a datelor și de hack-uri fără a avea toate faptele. Există pur și simplu prea multe variabile care trebuie luate în considerare.

Cu pretențiile hack-ului Gmail, se pare că este o prezumție sigură că presupușii hackeri doar verificau colecția lor de adrese, probabil utilizată în diverse campanii de spam.

Unele au fost autentice, altele au expirat.

Cel mai bun site pentru a verifica dacă e-mailul dvs. a fost hacked și a găsit-o pe un site ca Pastebin.com este hasibeenpwned.com.

În mod ironic, în ceea ce privește cele 5 milioane de adrese Gmail presupuse a fi hackate de la Google, aceasta a fost presa tehnologică care a fost cu adevărat pwned.

Rob Hyrons prin Shutterstock

Explorați mai multe despre: Securitatea online, încălcarea securității.