Новое массовое нарушение безопасности раскрывает 773 миллиона паролей

Новое массовое нарушение безопасности раскрывает 773 миллиона паролей

Исследователь безопасности Трой Хант (Troy Hunt), который поддерживает веб-сайт «I Ien Been Pwned» для тех, кто хочет знать, были ли скомпрометированы их адреса электронной почты и / или пароли при любых нарушениях безопасности (предупреждение о спойлере: Yup), опубликовал отчет о действительно серьезном нарушении около 773 миллионов записей. Еще хуже то, что это на самом деле влияние после того, как Хант попытался удалить набор данных из дубликатов и бесполезных полей, которые на самом деле не содержали адресов электронной почты или связанных паролей.

Дамп данных о монстрах основан на прозаической «Коллекции № 1» и содержит 1.16B уникальных комбинаций адресов электронной почты и паролей, но только 772 миллиона уникальных адресов электронной почты. Это самый большой дамп данных, который когда-либо загружался в «У меня получилось», и он представляет собой некий набор мета-нарушений, а не результат какого-либо отдельного взлома безопасности или нехватки корпоративной безопасности.

Данные взлома поступают из различных источников, и Хант подчеркивает, что не все «взломы» были проверены, то есть, что не каждая база данных, заявленная в хакере, на самом деле может быть представлена ​​в хаке. Если вы когда-либо исследовали утечку материала вокруг своего собственного адреса электронной почты, вы, вероятно, поняли, что не каждая утечка содержит точную информацию - хотя я видел свою собственную электронную почту, связанную с паролями, которые я использовал в прошлом, я ' Я также видел письма, которые я использовал, связанные с паролями, которые я никогда не использовал с этими учетными записями.

Была упущена прекрасная возможность назвать это «1 коллекцией». Я покажу себя.
Была упущена прекрасная возможность назвать это «1 коллекцией». Я покажу себя.

В блоге Hunt содержатся инструкции о том, как посетители могут использовать «I Been Pwned», а также сопутствующее приложение «Pwned Passwords». Вы можете не только найти свой адрес электронной почты, чтобы узнать, был ли он взломан, но и проверить, был ли ваш пароль просмотрен. Хант также обсуждает этические последствия создания веб-сайта, на котором люди проверяют, не утек ли их пароли, вводя их - проверьте его сообщение в блоге, чтобы узнать больше его мыслей по этой теме. Это не сумасшествие - беспокоиться об этой проблеме, но выгоды могут перевесить риски.

Масштабы Коллекции № 1 огромны - только по размеру, это одно из крупнейших нарушений в истории, вызванное массовыми сбоями безопасности Yahoo. Но, по словам Ханта, он также содержит около 140 миллионов уникальных учетных записей электронной почты и 10 миллионов уникальных паролей, причем сами пароли находятся в незашифрованном виде, а не в виде незашифрованных криптографических хэшей.

Этот тип массивного взлома данных, как правило, используется при атаке с использованием учетных данных, а не при целенаправленной попытке взлома определенных компаний или отдельных лиц. Заполнение учетных данных - это то, на что это похоже - объединить адреса электронной почты и пароли и попытаться использовать их для получения доступа к учетным записям пользователей. Поскольку люди, как правило, повторно используют учетные данные на многих сайтах и ​​могут не менять пароли месяцами или годами одновременно, получить доступ к учетным записям может быть на удивление легко.

Если это нарушение затронуло вас и ваш пароль утек, мы настоятельно рекомендуем изменить его на всех затронутых сайтах. Сервис, такой как менеджер паролей, также может быть эффективным способом сохранить надежный набор паролей с более высокой общей безопасностью, чем мнемоническое устройство или более короткий набор случайных чисел и букв.

Читать далее

Лучшие системы безопасности умного дома
Лучшие системы безопасности умного дома

Когда-то являвшиеся нишевым бизнесом с несколькими традиционными игроками и несколькими стартапами, системы домашней безопасности теперь являются основным полем битвы не только для охранных компаний, но и для нескольких интернет-гигантов. Мы собрали самые популярные варианты на 2020 год.

Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows
Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows

Intel, AMD и Qualcomm работают над тем, чтобы сделать Pluton частью своих будущих проектов, что должно сделать ПК более трудным для взлома, но также встроит технологию Microsoft в ваше оборудование.

Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.
Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

SolarWinds, компания, оказавшаяся в центре массового взлома правительственных учреждений и корпораций США, не совсем использует передовые методы паролей.

Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности
Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности

Trend Micro заявляет, что SHAREit - это кошмар безопасности, который может позволить злоумышленникам украдкой взглянуть на ваши данные или даже установить вредоносное ПО. Пожалуй, самое тревожное, что разработчики не ответили на предупреждения Trend Micro.