Kagabi isang hindi nagpapakilalang hacker ang inaangkin na nagmamay-ari ng 7 milyong mga password sa mga Dropbox account. Habang ang claim na iyon ay marahil ay hindi totoo, ipinapakita nito ang lalong karaniwang paraan na ginagamit ng mga hacker upang makakuha ng pag-access sa iyong mga password.
Ang hacker ay nag-post sa paligid ng 400 mga username at password sa hindi nagpapakilalang tala ng site na Pastebin sa isang serye ng 'mga mang-aasar' para sa pangunahing listahan. Ang ilang mga gumagamit ng Reddit ay matagumpay na naka-log in sa Dropbox gamit ang impormasyong nai-post bago i-deactivate ng kumpanya ang lahat ng mga leak na password.
Pero Mabilis na nag-duda ang Dropbox sa mga paghahabol , tinanggihan na ito ay na-hack at inaangkin na marami sa mga username at password ay hindi kahit na nauugnay sa mga Dropbox account.
Kaya saan nagmula ang mga password? Pagkatapos ng lahat, nagtrabaho sila, para sa isang oras.
Ang malamang na mapagkukunan ng impormasyon ay isang site ng third-party na may mahinang seguridad. Alam ng mga hacker na karamihan sa mga gumagamit ng internet ay muling ginagamit ang kanilang mga password, kaya madalas na target nila ang mas maliit na mga app na ginawa ng mga amateur developer. Ang mga madaling target na ito ay may mahinang seguridad - kaya maaaring maimbak ang mga username, password o file sa isang paraan na madali para sa mga hacker na nakawin sila.
Ang kamakailang hack sa Snapchat , na nakakita ng halos 100,000 pribadong mga larawan at video na nai-post sa online, nangyari dahil ang isang amateur developer ay hindi ligtas na na-set up ang kanyang website. Sa isang post sa pahina ng Snapsaved Facebook , ipinaliwanag ng hindi nagpapakilalang tagapagtatag ng site na ang isang maling pag-configure ng Apache server ay naiwan ang mga file na mahina sa mga hacker.
Hindi na kailangang subukang i-target ng mga hacker ang mga tech na higante. Bakit mag-abala na subukang mag-hack sa mga server ng Google, Apple o Facebook kung maaari mo lamang samantalahin ang isang hindi magandang binuo na website upang makakuha ng parehong impormasyon?
Nakikita namin ngayon ang mga hacker na gumagamit ng isang bagong diskarte. Sa halip na gumugol ng buwan sa paghahanap ng mga kahinaan sa malalaking site, muling ginagamit nila ang impormasyon sa pag-login na ninakaw mula sa mga amateur na third-party na apps. Malamang na gumagana ang impormasyon para sa maraming mga site, kaya ang pag-iipon ng mga cache ng data na ito ay maaaring mabilis na makalikha ng isang listahan ng milyun-milyong mga password.
Sa Setyembre, Ang mga hacker ng Russia ay naglathala ng isang listahan ng 5 milyong mga password sa iba't ibang mga iba't ibang mga email provider, kabilang ang Gmail. Hindi ito isang bagong tagas, ngunit isang koleksyon ng mga mas matandang tagas ng password na pinagsama-sama upang mukhang bago. Oo naman, marami sa mga email account ang nagsara, ngunit ang impormasyon ay maaari pa ring mai-download at magamit ng mga hacker upang makapasok sa iba pang mga account.
Kaya bakit muling ginagamit ng mga hacker ang lumang impormasyon? Bihirang may ebidensya na talagang ginagamit nila ang mga password upang mag-log in sa mga site. Sa halip, parang ipinost lang nila ang impormasyon sa online. O hindi bababa sa, nai-post nila ang ilan sa impormasyon sa online. Tulad ng nabanggit namin dati, ang mga hacker ay tumutulo sa bahagyang koleksyon ng mga password bilang 'teaser.' Ito ay madalas na sinamahan ng isang kahilingan para sa mga donasyon ng Bitcoin.
Maaari naming gamitin ang likas na katangian ng publiko ng mga Bitcoin address upang makita kung magkano ang nakuha ng mga hacker para sa pag-post ng mga password sa online. Ito ay madalas na mas mababa kaysa sa inaasahan nilang makatanggap. Ang hacker na nagbahagi ng koleksyon ng mga Dropbox password natanggap lamang ng 8 sentimo . Katulad nito, OriginalGuy, ang anonymous forum poster sa likod ng unang alon ng na-hack na mga larawan ng kilalang tao ng iCloud, nagpahayag ng pagkadismaya sa maliit na patak ng mga donasyon dumating iyon, sinabi:
Oo naman, nakakuha ako ng $ 120 sa aking Bitcoin address, ngunit kapag isinasaalang-alang mo kung gaano karaming oras ang ginugol sa pagkuha ng bagay na ito (hindi ako ang hacker, isang kolektor lamang), at ang pera (nagbayad ako ng marami sa pamamagitan ng Bitcoin din upang matiyak Nagtatakda kung kailan ang bagay na ito ay pribadong ipinagpapalit noong Biyernes / Sabado) Hindi talaga ako nakalapit sa inaasahan ko.
Nakakakita kami ng higit pa at maraming mga password na tumutulo sa online. Ang mga amateur developer ay hindi pinapataas ang seguridad ng password, at patuloy na muling lumitaw ang mga kasalukuyang paglabas. Habang ang impormasyong ginawang pampubliko ay madalas na maraming taon nang wala sa panahon (marami sa mga email na nai-post kasama ang mga password ng Dropbox ay na-deactivate noong 2012), mahalaga pa rin ito sa mga hacker na nagtatala ng malalaking listahan ng mga email address at password na gagamitin sa mga pag-atake laban sa ibang mga site .
At, kung sakaling hindi malinaw, ito ang iyong kasalanan din: Kung gumagamit ka ng parehong mga password nang paulit-ulit sa iba't ibang mga app kung gayon ang mga hacker ay hindi kailangang pumunta sa mga server ng Apple o Facebook upang hanapin sila. Nakikilala lamang nila ang mas maliit na mga app na may pinakamahina na seguridad ng password.
--Ito kwento unang nagpakita sa Business Insider.
