Новое массовое нарушение безопасности раскрывает 773 миллиона паролей

Новое массовое нарушение безопасности раскрывает 773 миллиона паролей

Исследователь безопасности Трой Хант (Troy Hunt), который поддерживает веб-сайт «I Ien Been Pwned» для тех, кто хочет знать, были ли скомпрометированы их адреса электронной почты и / или пароли при любых нарушениях безопасности (предупреждение о спойлере: Yup), опубликовал отчет о действительно серьезном нарушении около 773 миллионов записей. Еще хуже то, что это на самом деле влияние после того, как Хант попытался удалить набор данных из дубликатов и бесполезных полей, которые на самом деле не содержали адресов электронной почты или связанных паролей.

Дамп данных о монстрах основан на прозаической «Коллекции № 1» и содержит 1.16B уникальных комбинаций адресов электронной почты и паролей, но только 772 миллиона уникальных адресов электронной почты. Это самый большой дамп данных, который когда-либо загружался в «У меня получилось», и он представляет собой некий набор мета-нарушений, а не результат какого-либо отдельного взлома безопасности или нехватки корпоративной безопасности.

Данные взлома поступают из различных источников, и Хант подчеркивает, что не все «взломы» были проверены, то есть, что не каждая база данных, заявленная в хакере, на самом деле может быть представлена ​​в хаке. Если вы когда-либо исследовали утечку материала вокруг своего собственного адреса электронной почты, вы, вероятно, поняли, что не каждая утечка содержит точную информацию - хотя я видел свою собственную электронную почту, связанную с паролями, которые я использовал в прошлом, я ' Я также видел письма, которые я использовал, связанные с паролями, которые я никогда не использовал с этими учетными записями.

Была упущена прекрасная возможность назвать это «1 коллекцией». Я покажу себя.
Была упущена прекрасная возможность назвать это «1 коллекцией». Я покажу себя.

В блоге Hunt содержатся инструкции о том, как посетители могут использовать «I Been Pwned», а также сопутствующее приложение «Pwned Passwords». Вы можете не только найти свой адрес электронной почты, чтобы узнать, был ли он взломан, но и проверить, был ли ваш пароль просмотрен. Хант также обсуждает этические последствия создания веб-сайта, на котором люди проверяют, не утек ли их пароли, вводя их - проверьте его сообщение в блоге, чтобы узнать больше его мыслей по этой теме. Это не сумасшествие - беспокоиться об этой проблеме, но выгоды могут перевесить риски.

Масштабы Коллекции № 1 огромны - только по размеру, это одно из крупнейших нарушений в истории, вызванное массовыми сбоями безопасности Yahoo. Но, по словам Ханта, он также содержит около 140 миллионов уникальных учетных записей электронной почты и 10 миллионов уникальных паролей, причем сами пароли находятся в незашифрованном виде, а не в виде незашифрованных криптографических хэшей.

Этот тип массивного взлома данных, как правило, используется при атаке с использованием учетных данных, а не при целенаправленной попытке взлома определенных компаний или отдельных лиц. Заполнение учетных данных - это то, на что это похоже - объединить адреса электронной почты и пароли и попытаться использовать их для получения доступа к учетным записям пользователей. Поскольку люди, как правило, повторно используют учетные данные на многих сайтах и ​​могут не менять пароли месяцами или годами одновременно, получить доступ к учетным записям может быть на удивление легко.

Если это нарушение затронуло вас и ваш пароль утек, мы настоятельно рекомендуем изменить его на всех затронутых сайтах. Сервис, такой как менеджер паролей, также может быть эффективным способом сохранить надежный набор паролей с более высокой общей безопасностью, чем мнемоническое устройство или более короткий набор случайных чисел и букв.

Читать далее

Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.
Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

SolarWinds, компания, оказавшаяся в центре массового взлома правительственных учреждений и корпораций США, не совсем использует передовые методы паролей.

Microsoft теперь предлагает вариант (в основном) Ritch ваш пароль
Microsoft теперь предлагает вариант (в основном) Ritch ваш пароль

Microsoft хочет бросить пароли, и это делает функцию широко доступной в Windows впервые.

Microsoft, Apple и Google объединяют усилия, чтобы убить пароль
Microsoft, Apple и Google объединяют усилия, чтобы убить пароль

На Всемирный день пароля три крупнейших технических фирмы в мире объявили об альянсе для изгнания паролей в кучу истории.

Netflix Ads и плата за совместное использование паролей может поступить в этом году
Netflix Ads и плата за совместное использование паролей может поступить в этом году

В уведомлении, отправленном сотрудникам, Netflix Management заявила, что они стремятся подготовить уровень, поддерживаемый рекламой, готовый к регистрации к четвертому кварталу 2022 года.