Annuncio pubblicitario
Riferisce che una massiccia perdita di account di webmail include un numero enorme di credenziali mai viste prima è stata accolta con un misto di panico... e dubbio. Quanto sono precise le notizie e le tue credenziali Gmail, Hotmail / Outlook o Yahoo Mail potrebbero essere nel mix?
272 milioni di indirizzi email unici
No, non c'è niente di sbagliato nella tua vista. Legge davvero "272 milioni". Questo è il totale di coppie uniche di indirizzi email e password ottenute da un hacker da Hold Security, una società di sicurezza delle informazioni che in precedenza aveva ottenuto una raccolta di 1,2 miliardi di nomi di cyber gang russe nel 2014 Russian Hacking Gang Cattura 1,2 miliardi di credenziali: cosa dovresti fare Leggi di più . sembrerebbe, quindi, che la società abbia una buona forma in questo settore e possa essere considerata affidabile.
Ma torneremo a quello.
La cifra di 272 milioni è davvero elevata ed è apparentemente una raccolta di account da Gmail, Hotmail, Yahoo Mail e Mail.ru, un servizio di webmail russo ed est europeo. Hold Security afferma che dei 272 milioni di account, 42,5 milioni sono nuovi: non sono mai stati inclusi in alcuna precedente violazione dei dati.
Se vero, questo mette la perdita lassù con alcuni dei più grandi di tutti i tempi, come la massiccia perdita di 150 milioni di account utente Adobe e il follemente dannosa fuga di Ashley Madison Ashley Madison Leak non è un grosso problema? Pensa di nuovoIl discreto sito di incontri online Ashley Madison (destinato principalmente ai coniugi traditori) è stato violato. Tuttavia, si tratta di un problema molto più grave di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza dell'utente. Leggi di più .
Come per tutte le grandi perdite, puoi scoprire se le tue credenziali sono nelle mani degli hacker visitando www.haveibeenpwned.com. Questo sito, precedentemente descritto su MUO, è un database di ricerca di tutti i più grandi hack. Se trovi le tue credenziali e riconosci la password come attuale, è tempo di cambiarla. Nel frattempo, se l'account non è in uso, vale la pena chiuderlo.
Ora, che dire di questi 42 milioni di account?
Chi ha trapelato i dati?
La storia dietro questa fuga sembra avvolta nel mistero. Mantieni il post sul blog di Security sull'argomento suggerisce di essere stati contattati in modo anonimo con oltre 900 milioni di credenziali raccolte da più violazioni per un periodo di tempo, un file di 10 gigabyte in totale.
Non conosciamo la persona che ha trapelato i dati, a parte il fatto che è descritto come "questo ragazzo di una piccola città in Russia" e che è stato pagato nei social media. No davvero.
Come le violazioni dei dati possono essere utilizzate dagli hacker
Quindi cosa significa davvero? Come si può utilizzare 10 gigabyte di credenziali e-mail trapelate? Bene, pensaci: a quanti siti web accedi con il tuo account e-mail?
Parlando con la BBC, il responsabile della sicurezza delle informazioni di Hold Security, con sede a Milwaukee, Alex Holden, ha spiegato come "ci sono siti di hacker che pubblicizzare i servizi popolari di "forzatura bruta" e archiviare i fronti prendendo una grande quantità di credenziali ed eseguendole una a una contro le luogo."
Uno alla volta, si tentano password dopo password su servizi come Amazon, eBay, forse Xbox Live e PlayStation Network, utilizzando il tecnica della forza bruta Quali sono gli attacchi di forza bruta e come puoi proteggerti?Probabilmente hai sentito la frase "attacco di forza bruta". Ma cosa significa quello esattamente? Come funziona? E come puoi proteggerti da ciò? Ecco cosa devi sapere. Leggi di più , dimostrato qui:
Peggio ancora, le credenziali sono state probabilmente condivise in tutto il mondo ormai, Holden ammette:
"Ciò che rende questa scoperta più significativa è la volontà dell'hacker di condividere virtualmente queste credenziali gratuitamente, aumentando il numero di... persone maligne che potrebbero avere queste informazioni."
Ma le violazioni della sicurezza possono essere utilizzate anche dalle società di sicurezza. Nel 2014, Hold Security ha tentato di incassare la violazione segnalata in quel periodo, offrendo un servizio di abbonamento ai proprietari di siti Web (ma non individui). Alcuni ricercatori sostengono che il loro momento precedente sotto i riflettori era un caso di stile piuttosto che di sostanza, ma Holden ha negato che fosse così, sostenendo di essere "effettivamente perdere soldi. Non stiamo provando a farlo per pubblicità dal punto di vista del profitto, non stiamo spingendo i nostri servizi. In effetti, stiamo cercando di non andare in rovina ".
Se credi che Holden non sia il punto, comunque. Il punto è che la perdita include dati che potrebbero essere tuoi. Cosa puoi fare al riguardo?
Dovrei cambiare la mia password, giusto?
Se sei il proprietario di un account Hotmail, Outlook, Gmail, Yahoo Mail o Mail.ru, probabilmente stai pensando che in questo momento sia il momento migliore per cambiare la password del tuo account. Bene, per un momento, tieni i tuoi cavalli. Rinomato ricercatore di sicurezza Il professor Alan Woodward ha detto alla BBC che "non c'era" nessuna necessità di andare nel panico "o che le persone cambiassero le loro password a questo punto".
Ora, non stiamo dicendo che non dovresti cambiare la tua password; sei libero di farlo in qualsiasi momento, poiché è il tuo account. Tuttavia, se la violazione è tanto grave quanto viene richiesta, il tuo provider di webmail ti chiederà di cambiare la password al prossimo tentativo di accesso.
Prof. Woodward sta diventando piuttosto astuto qui, consigliando agli utenti di attendere istruzioni dal loro provider di webmail. Perché? Bene, per cominciare, sono Gmail, Hotmail / Outlook, Yahoo Mail e Mail.ru che hanno le risorse per indagare sulla legittimità della violazione, e sono quelle aziende che hanno il potere di avviare la massa reimpostazioni password.
Inoltre, i provider di webmail dispongono di strumenti per rilevare accessi sospetti. Tutto sommato, hanno la situazione sotto controllo.
La minaccia di phishing e spam
Un grosso problema con violazioni della sicurezza di alto profilo è che portano con sé minacce aggiuntive. Come i pesci pilota, i criminali non sono mai lontani dal grosso pagamento, pronti a raccogliere gli scarti che vengono messi da parte. Esiste una grande minaccia dal phishing in seguito a questa particolare notizia.
Prima di tutto, se usi Gmail, Hotmail o Outlook, Yahoo Mail o Mail.ru, potresti notare un aumento dei messaggi e-mail di spam. Alcuni potrebbero provenire da nuove fonti ed essere difficili da gestire per il tuo provider di webmail nel solito modo (ovvero tenerlo nella cartella spam / junk, lontano dalla tua vista). Di conseguenza, è necessaria ulteriore vigilanza.
Forse ancora più importante, devi essere consapevole della probabilità di email di phishing Come individuare un'e-mail di phishingCatturare un'e-mail di phishing è difficile! I truffatori si pongono come PayPal o Amazon, cercando di rubare la password e i dati della carta di credito, se il loro inganno è quasi perfetto. Ti mostriamo come individuare la frode. Leggi di più affermando di provenire dal provider di webmail, chiedendoti di fare clic su un collegamento per reimpostare la password. Il collegamento, ovviamente, sarà a sito Web contraffatto Come i truffatori prendono di mira il tuo conto PayPal e come non innamorarsene maiPayPal è uno dei conti più importanti che hai online. Non fraintendetemi, non sono un grande fan di PayPal, ma quando si tratta di soldi, non si vuole giocare. Mentre... Leggi di più , pronti a raccogliere le tue credenziali attuali.
Nessuno dei provider di webmail interessati è probabile che ti invii un'email di questo tipo.
Mantieni la sicurezza ed evita le email di phishing
Sembra che viviamo in un'epoca d'oro delle violazioni della sicurezza (almeno per gli hacker) e non mostra alcun segno di rinuncia. Finché ci sono sistemi online e un profitto da realizzare, ci saranno persone con le capacità e le motivazioni per violare tali sistemi.
La lotta contro questo richiede una migliore vigilanza da parte delle aziende e dei servizi con cui condividiamo i nostri indirizzi e-mail e i dati personali; deve anche essere vigili sulle minacce e su come potrebbero essere eseguite. Email di spam, phishing e siti Web contraffatti: sono probabilmente tutti i vettori di attacco diretti verso la tua casella di posta.
Come ti senti riguardo a quest'ultima violazione della sicurezza? Ti stai stancando di conoscere le perdite online che potrebbero essere evitabili con una maggiore sicurezza in atto? Dicci cosa ne pensi - inizia la conversazione nella casella dei commenti.
Crediti immagine: rubare una borsa di Volkova Vera via Shutterstock, Brian Senic tramite Shutterstock.com, JMiks tramite Shutterstock.com
Christian Cawley è vicedirettore per la sicurezza, Linux, DIY, programmazione e spiegazione tecnica. Produce anche The Really Useful Podcast e ha una vasta esperienza nel supporto di desktop e software. Un collaboratore della rivista Linux Format, Christian è un armeggiatore di Raspberry Pi, amante di Lego e fan dei giochi retrò.