Trys pagrindiniai socialiniai tinklai tyliai tapo duomenų pažeidimų aukomis, tačiau nepaisant didelės sėkmės, kantrybė ir pasitikėjimas dabar pradeda blėsti.
(Vaizdas: failo nuotrauka)
Keturios savaitės. Trys įsilaužimai. Du konkuruojantys pardavėjai, turintys beveik milijardą sąskaitų – jų laukia dar daugiau.
Kaip mes čia atsidūrėme? Silicio slėnyje neseniai patvirtintų duomenų pažeidimų protrūkis buvo žiaurus priminimas: saugumas tikrai svarbus. Įsilaužimai apėmė kaip karštligė, kurią paskatino pagrįsti lūkesčiai, atsižvelgiant į akivaizdžiai aukštą įsilaužėlių prieigos lygį, kad atsiras daugiau pažeidimų.
Mano erdvė, LinkedIn, ir Tumblr visi buvo nukryžiuoti už tai, kad nesugebėjo apsaugoti savo vartotojų duomenų. Įmonės pasakė savo „Sveika, Marija“, valgė savo kuklų pyragą ir pažadėjo padaryti geriau.
Saugumas
- 8 labai saugių nuotolinių darbuotojų įpročiai
- Kaip rasti ir pašalinti šnipinėjimo programas iš savo telefono
- Geriausios VPN paslaugos: kaip palyginti 5 geriausius?
- Kaip sužinoti, ar esate susijęs su duomenų pažeidimu – ir ką daryti toliau
Kitoms įmonėms sekėsi ne taip gerai.
Pažinčių svetainė Badoo, kuri praėjusį mėnesį neigė, kad buvo įsilaužta po to, kai tamsioje interneto prekyvietėje buvo prekiaujama dešimtimis milijonų sąskaitų, išliko veidas, kai pranešimų apie pažeidimus svetainė LeakedSource įkėlė duomenų rinkinį 127 milijonų įrašų. Tada socialinio tinklo svetainė VK.com iš pradžių tai paneigė el jis buvo nulaužtas, bet prisipažino vėliau įraše kad nutekėję duomenys buvo nuo 2012 m, patvirtinantį mūsų pranešimą ir kad prisijungimai buvo priverstinai iš naujo nustatyti po to.
Tačiau įveikus šių metų „megabrache“ bangą reikalai ėmė aiškėti.
„Dropbox“ nutraukė grandinę kaip kitą didelį įsilaužimą, kurio tiesiog nebuvo. Ketvirtadienį „Twitter“ vėliausiai paneigė, kad į jį buvo įsilaužta, nors duomenis išanalizavęs „LeakedSource“ aišku pasakyti nemanė, kad į „Twitter“ buvo įsilaužta (nepaisant a nužudėantraščiųsiūlydamaskitaip).
Ar tai buvo posūkio taškas? Ar „piko įsilaužimas“ baigėsi? Arba mes prisotinome rinką tiek daug naudotojų vardų ir slaptažodžių, kad pakartotinis esamų įsilaužimų naudojimas ir perpakavimas buvo beveik neišvengiamas?
Turint vieną kredencialų sąrašą, tariamą „įsilaužimą“ lengva perpakuoti kaip kitą pažeidimą – tiesiog prekiaujant vienos tikros įrašų partijos sąrašais. Kartais reikia perduoti senus duomenis kaip naujus, kad užsidirbtumėte pinigų, arba parodyti įsilaužėlio meistriškumą ir įgūdžius.
Iš tikrųjų dėl to tik sunkiau nustatyti, ar naujas sąrašas yra tikras, ar ne – ir jis pradeda ryškėti.
Istoriniai įsilaužimai vėl persekioja
Buvo lengva manyti, kad į „Dropbox“ buvo įsilaužta, tačiau tai įrodyti būtų sunku. Tai įsilaužėlių žodis prieš įmonės – ir daugeliu atvejų pastaroji turi daugiau ką prarasti.
Rusijos pardavėjas, pasivadinęs „Tessa88“, teigė, kad turi 103 milijonus pavogtų sąskaitų, rodo kovo pradžioje paskelbtas įrašas įsilaužėlių forume. Pats atsisiuntimas turėjo mažesnį 73 milijonų įrašų rinkinį – raudona vėliavėlė saugumo reporteriui Brianui Krebsui, kuris pirmasis apėmė istoriją. Paaiškėjo, kad tai buvo pakartotinai surinkti duomenys iš „Tumblr“, tačiau stebėjimo tarnybos jį sustiprino ir paskatino, o tai nuleido kamuolį.
„Teamviewer“ taip pat buvo įtrauktas į „mega breach“ serijos ažiotažą, kuris paskatino kai kuriais patikėti į ekrano bendrinimo programą buvo įsilaužta. Nors internete nebuvo pasirodžiusi jokių duomenų apie pažeidimus, daugelis teigė, kad jų paskyros vis dėlto buvo pažeistos.
„Ar šie rimti incidentai gali priversti mus automatiškai prisiimti blogiausią? Ar dėl to būsime atsargūs sprendžiant kasdienius teiginius, kad vienos iš šių atakų auka tapo didelė žiniatinklio dalis? rašė Troy Huntas, saugumo tyrinėtojas, valdantis pranešimų apie pažeidimus svetainę Ar aš buvau pagrobtas.
Štai spoilerinis įspėjimas: įmonės sistemos nebūtinai turi būti pažeistos, kad taptų „įsilaužimo“ auka – bent jau taip, kaip ji atrodo. Labiau tikėtina, kad ilgus metus trunkantis pakartotinis slaptažodžių naudojimas sugrįš milijonams žmonių nes šie bendrinami prisijungimų sąrašai gali būti perpakuojami ir parduodami kaip „patvirtintas“ kito asmens pažeidimas paslauga.
Atsižvelgiant į kai kurias neseniai iškilusias pasitikėjimo Silicio slėnyje problemas (pagalvokite apie Edwardą Snowdeną), šios įmonės susiduria su suvokimo problemomis, kurias sunku įveikti.
Seni išpuoliai, nauji pažeidimai
Patvirtintų įsilaužimų atveju – „MySpace“, „LinkedIn“ ir „Tumblr“ – nežinoma, iš kur gauti duomenys ir kaip įsilaužimai įvyko. Tačiau stebėtina, kad dabar didžiausią vietą užima patys pardavėjai – ir teigiama, kad dėl to jie gauna naudos.
Po daugelio pokalbių per pastarąsias tris savaites štai ką manome žinome.
Manoma, kad Tessa88 pirmą kartą pasirodė anksčiau šiais metais – neaišku, ar ji (jos lytis nežinoma, bet nurodo pati daugelyje įsilaužėlių forumų kaip moteris) priklauso platesnei grupei, tačiau žinoma, kad ji gauna duomenis apie pažeidimus ir parduoda juos už bitkoinų.
Turėdama nuorodas į naujausius „MySpace“ ir „VK.com“ duomenų pažeidimus, ji neseniai išgarsėjo gavusi daugiau nei 300 milijonų „Twitter“ prisijungimų. Tai buvo vėliau peržiūrėta iki 32 milijonų prisijungimų, o analizė parodė, kad už nutekintų duomenų nebuvo įsilaužimo. „LeakedSource“ teigė, kad kredencialai greičiausiai buvo paimti iš pačių sąskaitų savininkų kompiuterių.
Savo ruožtu „Twitter“ neigė bet kokį pažeidimą, nepaisant daugybės antraščių siūlydamaskitaip.
Bet kokiu atveju nėra jokio būdo tuo įsitikinti – ir tai vieno (arba dviejų) žodis prieš patikimą įmonę.
Tessa88, kuri griežtai su manimi kalbėdavo tik rusiškai, taip pat teigia turinti paskyras Qip.ru, Rambler.ru ir Mobango, be kita ko, svyruoja nuo 10 (apie 5780 USD) iki 15 bitkoinų (apie 8670 USD) kaina. Kai paprašėme patikrinti pavyzdį, ji mūsų paprašė bitkoino – ko mes atsisakėme daryti.
Tačiau toje pačioje arenoje yra kitas pardavėjas, pasivadinęs „Peace“ – įsilaužėlis, išgarsėjęs pardavęs įvairius pavogtų duomenų rinkinius iš „Fling“, „LinkedIn“, „Badoo“ ir VK.com.
Dabar pardavėjai (nepriklausomi vienas nuo kito) pretenduoja į savo akcijų paketą į daug didesnį tų pačių technologijų skalpų rinkinį.
Abu pardavėjai teigia turintys daugiau nei 836 milijonus su Facebook susijusių paskyrų, kurios, kaip teigiama, atsirado šių metų vasario viduryje. Peace'as sakė, kad neįvardyta saugos įmonė yra suinteresuota įsigyti duomenis, bet nepasakė, kuri. Jis sakė, kad duomenys netrukus bus pateikti pardavimui.
Abu įsilaužėliai taip pat teigia turintys 160 milijonų ir 332 milijonus paskyrų (priklausomai nuo to, ko klausiate), susijusių su „Instagram“, kuri, jų teigimu, buvo pavogta 2014 m.
Skirtingai nuo kitų pažeidimų, nei Tessa88, nei Peace nesidalins duomenimis, susijusiais su tariamais Facebook ir Instagram pažeidimais.
„Facebook“, kuriai taip pat priklauso „Instagram“, ketvirtadienį šio įrašo nekomentavo.
Vėlgi, tai yra „jis pasakė“ prieš „ji pasakė“. Ir kad ir kokie klaidingi ar perdėti būtų įsilaužėlių teiginiai, nėra jokio galutinio būdo įrodyti bet kurį atvejį.
Peace'as taip pat tvirtino turįs po diržu daug mažesnių pažeidimų, kuriuos parduos už vieną ar du bitkoinus – pavyzdžiui, 23 mln. paskyros JustMate.com – pažinčių svetainėje, kuri iš savo pagrindinio puslapio teigė, kad bet kuriuo metu internete yra dešimtys tūkstančių vartotojų laikas. Svetainės savininkas Jamesas Kingas elektroniniame laiške teigė, kad turi tik 1300 aktyvių vartotojų.
Tada Kingas pagrasino teisiniais veiksmais, jei paskelbsime „bet kokią neigiamą informaciją apie mūsų svetainę“.
Ir jei to nepakaktų, Peace'as teigia, kad turi 1,1 milijardo sąskaitų, susijusių su „Yahoo“, kurios, jo teigimu, „pasilenkia NSA“ nuorodos jis nepaaiškino, bet gali turėti tam tikrą ryšį su jos įvardijimu kaip slapto PRISM vyriausybės stebėjimo dalimi. programa.
Atsiranda įsilaužėlių pogrindis
Atsižvelgiant į tai, kad du pardavėjai susitinka per vidurį dėl didžiausio kada nors žinomo duomenų pažeidimo, galite manyti, kad tai bus istorija. Ir jei jums įdomu, koks yra jųdviejų ryšys – prisijunkite prie klubo.
Pasirodo, du pardavėjai tiesiog nekenčia vienas kito.
„Jie visai ne draugai“, – sakė vienas iš „LeakedSource“ narių, kurio tapatybė nebuvo atskleista. „Jie abu parduoda duomenis... jie gauna duomenis ir perparduoda“.
Peace'as man nepasakė nei jo vardo, nei amžiaus, bet manoma, kad jis gyvena Europoje, tačiau šaltinis, kuris teigia žinantis apie jo darbą, sakė, kad gyvena centrinėje JAV dalyje. Prieš kelias savaites jis sakė, kad jis nėra oficialiai susijęs su įsilaužėlių grupe, tačiau kartais dirba su Rusijos įsilaužėliais. Šių metų pradžioje jis prisipažino įdiegė užpakalines duris į Linux Mint platinimą, ir kartais parduoda privačias išnaudojimo paslaugas, skirtas pažeidžiamumui tamsiosiose žiniatinklio rinkose.
SAUGUMAS
Vienas didžiausių įsilaužimų įvyko praėjusiais metais, tačiau niekas to nepastebėjo
Pavogtoje duomenų bazėje buvo milijonai el. pašto adresų, slaptažodžių ir mobiliųjų telefonų numerių, tačiau lieka klausimų, iš kur gauti pažeisti duomenys.
Skaitykite dabarNors Peace paprastai dirbs tamsiosiose interneto prekyvietėse, kurias jis naudoja duomenims parduoti, Tessa88 stilius yra kitoks, linkę laikytis rusakalbių forumų lentų – iš esmės „clearnet“ svetainių, kurias galima rasti reguliariai internetas.
Tačiau iš šaltinių, su kuriais kalbėjome ir kurie žino apie du pardavėjus, yra kaltinimų, kad Peace turi daug kartų gaudavo tariamai įsilaužtus duomenis iš Tessa88 per įgaliotąjį serverį – tai gali paaiškinti, kodėl ji vargu ar yra jo gerbėjas.
Šią savaitę šifruotame pokalbyje ji pavadino Peace'ą „motina“, „apgavike“ ir „kitu vaiku, kuris parduoda mano duomenų bazes“. Ji pasakė: „Jis mane apgavo, o aš nemėgstu išdavikų“.
Taika neatsakė, kai paklausėme apie Tessa88.
Manoma, kad pirminis duomenų šaltinis yra Tessa88, tačiau ji nepasakys, kaip juos gavo. Vietoj to, ji retkarčiais kalbėdavo keistomis temomis šifruotuose pokalbiuose, pavyzdžiui, kaip lankytųsi paplūdimyje, tačiau „nesaugu“ ir tuo metu (galbūt patogiai) negalėjo parodyti dalies duomenų, į kuriuos buvo įsilaužta, nes jos automobilis sugedo į Avtomagistral.
Kiti žmonės, su kuriais kalbėjomės ir kurie taip pat bendravo su Tessa88, bendravo panašiai.
Didelis milijono dolerių klausimas – iš kur gauti duomenys.
„Na, – sakė Peace'as, – „Tumblr“, „MySpace“, „LinkedIn“, „Facebook“, „Fling“ ir dar daugiau“, – sakė jis. „Visus juos nulaužė tie patys žmonės. Ar tai aš ar kas nors kitas? Na, tegul FTB „tiria“ ir išsiaiškina“, – praėjusį penktadienį jis man pasakė.
Tačiau kuo ilgiau duomenys buvo paslėpti, tuo jie tampa vertingesni – per pastaruosius kelerius metus jie bus naudojami pogrindinėje rinkoje, kol jie nebebus naudingi. Tada duomenys tyliai paskelbiami tamsiame žiniatinklio forume (Peace atveju) arba įsilaužėlių forume (Tessa88 atveju), kur juos galima parduoti už tam tikrą kainą ir skirtis priklausomai nuo laisvosios rinkos. ekonomika – ir jei spauda patikrina duomenis, kaina pakyla, bet jei tai per daug tikrinama ir manoma, kad tai išpūstas arba pakartotinis pažeidimas dėl ankstesnio įsilaužimo, kaina gali smarkiai padidėti. lašas.
Hunt pasakė nesenas interviu: "Gali būti, kad tie, kurie iš pradžių išfiltravo šiuos duomenis, turėjo tam tikrą katalizatorių, dėl kurio jie tai paskelbė, todėl galbūt jie nori išsiaiškinti ir nori juos išgryninti."
„Tačiau akivaizdu, kad įvyko koks nors įvykis, dėl kurio šie duomenys, kurie taip ilgai buvo neaktyvūs, staiga atsirado čia, pasaulyje“, – pridūrė jis.
Slaptažodžiai kaip patogenas
Tai, kas atrodė iš pirmo žvilgsnio, buvo slaptas kooperatyvas, skirtas dviejų įsilaužėlių duomenų pardavimui ir perrašymui, dabar labiau panašu į – dėl geresnio termino – pykčio konkursas tarp dviejų įsilaužėlių, kurie konkuruoja parduoti trečiųjų šalių duomenis už greitą pinigų sumą tamsoje. žiniatinklio.
Ši pasikartojanti istorinių pažeidimų tema turi mažai modelio ar krypties, ji turi tam tikrų sėkmių ir nesėkmių, todėl beveik neįmanoma numatyti. Ažiotažas ir staigus tikėjimo ir pasitikėjimo įsilaužėlių žodžiais kritimas dabar neleidžia įrodyti naujų tariamų pažeidimų, kai jie įvyksta.
O didžiausią įtaką įsilaužimo sagai turi – geriau įsilaužėliams ir pardavėjams, bet blogiau įprastai visuomenei – yra siaubinga pakartotinio slaptažodžių naudojimo padėtis. Šis slaptažodžių dalijimasis tarp paslaugų yra esminis saugumo panaikinimas. Dvi paslaugos su tais pačiais kredencialais, ir jūs galite perduoti slaptažodžių sąrašą su pretenzija į nulaužimą. Kai pakankamai paskyrų bendrina naudotojų vardus ir slaptažodžius, sukuria iliuziją, kad buvo pažeista, ir sunku nuo to pasitraukti, nes įmonei beveik neįmanoma įrodyti, kad to nebuvo nulaužtas.
Tamsiojo interneto rinka beveik pasieks milijardą prisijungimų, o dar vienas milijardas, kaip teigiama, ruošiamasi, nėra beprasmiška tikėtis blogiausio. – Įvyko įsilaužimas. „Pažeidė kita įmonė“. Šie pakartotinai išplatinti duomenys išliks kam nors naudingi – an paskyros užgrobėją, sukčiavimą ar tiesiog įprastą šlamšto platintoją – vienaip ar kitaip ir daugelį metų ateiti.
Dėl prastos saugos ir blogų slaptažodžių dešimtmetį šie pardavėjai gali tiesiog perpakuoti mūsų baimes ir nesėkmes mėnesius ir metus – ir dažniausiai mes nesame išmintingesni.
SKAITYTI DAUGIAU
- Kodėl CŽV nori šifravimo užpakalinių durų, yra vadovavimo, o ne žvalgybos nesėkmė
- „Apple“ už atsisakymą suteikti prieigą prie duomenų gali būti baudžiama
- NSA taip priblokšta duomenų, kad ji nebėra veiksminga, sako informatorius
- Prasidėjus Snowdeno nutekėjimui, Kongrese kilo „baimė ir panika“.
- Kaip „Microsoft“ duomenų atvejis galėtų atskleisti JAV technologijų pramonę
- Jei neturite ko slėpti, štai kur siųsti slaptažodžius
- Susipažinkite su šešėliniais technologijų brokeriais, kurie teikia jūsų duomenis NSA