Annuncio pubblicitario
In seguito alla notizia di una vasta violazione dei server di Google che ha provocato la violazione di un presunto 5 milioni di indirizzi email, vari siti Web hanno suggerito che i lettori dovrebbero controlla se sono state vittime inserendo i loro indirizzi e-mail in "strumenti di controllo" - siti Web che possono determinare se un indirizzo e-mail è in un elenco di hackerati credenziali.
Il problema è che alcuni di questi strumenti di controllo non erano così legittimi come avrebbero sperato i siti Web che li collegavano ...
5 milioni di indirizzi e-mail: la verità
Riferito all'epoca come una massiccia perdita di 5 milioni di nomi utente e password degli account Gmail, presto è emerso che la storia era, beh, proprio quella: una storia.
Spiegandolo un po 'più tardi, Google ha rivelato che meno del 2% delle combinazioni nome utente / password erano accuratee che i propri strumenti di sicurezza di accesso avrebbero catturato la maggior parte di quelli.
Hanno anche chiarito che le credenziali non sono state violate dai propri server, ma da altri siti Web:
È importante notare che in questo caso e in altri, i nomi utente e le password trapelati non erano il risultato di una violazione dei sistemi di Google. Spesso, queste credenziali sono ottenute attraverso una combinazione di altre fonti.
Ad esempio, se riutilizzi lo stesso nome utente e la stessa password su tutti i siti Web e uno di tali siti Web viene violato, le tue credenziali potrebbero essere utilizzate per accedere agli altri.
Quindi, un account Gmail rilevato in una precedente violazione, di alto profilo o altro, avrebbe potuto essere uno di quelli nel dump dei dati delle credenziali nelle mani degli "hacker". In sostanza, le informazioni che potrebbero essere già state online in un modo o nell'altro, gli account Gmail sono state paralizzate da diverse fonti.
Ma in che modo questa storia è diventata così diffusa? Probabilmente con l'aiuto di un numero grande e rotondo come 5 milioni e l'intelligente tiratura degli hacker che hanno pubblicato le password dell'account su un forum di Bitcoin russo. Aggiungi uno strumento di controllo online che confermi se il tuo account e-mail è nella discarica e hai una grande notizia.
Certo, sembra probabile che isleaked.com non è il sito web che la gente pensava fosse.
Come funziona un controllo dell'account di posta elettronica falso falso
Verifica di un indirizzo email su un database (che potrebbe essere SQL, Access o persino un file di testo Quindi cos'è un database? [MakeUseOf Explains]Per un programmatore o un appassionato di tecnologia, il concetto di un database è qualcosa che può davvero essere dato per scontato. Tuttavia, per molte persone il concetto di database stesso è un po 'estraneo ... Leggi di più ) degli account di posta elettronica compromessi è relativamente semplice. Combinato con uno script facilmente scaricato, un sito Web di questo tipo potrebbe essere configurato in circa 30 minuti.
Troy Hunt, nel frattempo, ha un approccio molto migliore, motivo per cui dovresti utilizzare il suo sito per verificare la perdita delle tue credenziali ogni volta che leggi o senti di un hack dell'account.
Come spiegato sul suo blog, Hunt ha costruito Sono stato investito?, un sito Web legittimo (Hunt è un MVP di Microsoft per la sicurezza degli sviluppatori) progettato per consentire agli utenti medi di digitare il proprio indirizzo e-mail e scoprire se sono stati hackerati o meno. Utilizzando i dati inviati a siti come Pastebin.com, ti dice anche quale violazione è responsabile della presenza del tuo account email nel suo database.
Alla ricerca di un controllo dell'account di posta elettronica compromesso legittimo?
Quando vengono visualizzati i risultati, il sito visualizza il nome del sito Web da cui sono stati trapelati i dettagli del tuo account. Spero che quel sito ti abbia inviato un'e-mail in privato o fatto un annuncio.
(Naturalmente, se dovessi preoccuparti che il tuo account e-mail sia stato violato, dovresti comunque cambiare la password. Ricordati di renderlo sicuro e memorabile 6 suggerimenti per la creazione di una password infrangibile che puoi ricordareSe le tue password non sono uniche e infrangibili, potresti anche aprire la porta d'ingresso e invitare i ladri a pranzo. Leggi di più .)
Come puoi vedere dall'immagine sopra, il mio account e-mail è stato uno dei tanti recuperati nella massiccia violazione di Adobe del 2013. Dovresti usare le informazioni fornite dal sito di Hunt per agire immediatamente, sebbene tieni presente che anche quando la tua password è stata cambiata, il tuo indirizzo email rimarrà sul sito.
Se pratico, vale anche la pena cambiare l'indirizzo e-mail che usi con i tuoi account online.
La due diligence non dovrebbe essere una cosa del passato
Un elemento vitale del giornalismo è la dovuta diligenza; il controllo dei fatti. Non è sufficiente rigurgitare i comunicati stampa. Qualsiasi scrittore, sia sfornando contenuti per $ 1 per 1000 parole o stipendiato con un nome di spicco nella pubblicazione, può farlo.
Sfortunatamente sul World Wide Web, non succede abbastanza.
Alcuni minuti di verifica dei fatti avrebbero dimostrato che la richiesta di 5 milioni di indirizzi era una fabbricazione. Come abbiamo riferito al momento, gli indirizzi erano stati paralizzati da una raccolta di perdite precedenti Perdite di password Gmail online, Microsoft Drop Windows Phone e altro... [Tech News Digest]Inoltre, recensioni negative, Deezer negli Stati Uniti, Google Pyramids, NES 3DS e una macchina illuminante Rube Goldberg. Leggi di più . Gli hacker russi sono stati in grado di raccogliere un elenco anziché violare la sicurezza di Google.
Di particolare sospetto, nel frattempo, era il sito consigliato da molti siti Web per controllare le email, isleaked.com. Curiosamente registrato solo due giorni prima della fuga, in Russia, la sua improvvisa esistenza fu enormemente fortuita o pianificata.
Come dico sempre, non ci sono coincidenze nella sicurezza online.
Dopotutto, quale modo migliore per confermare l'elenco di indirizzi che stai sostenendo di aver violato piuttosto che convincere i proprietari di account a verificare se li stanno ancora usando o no? È il modus operandi degli spammer: gli indirizzi morti sono inutili, motivo per cui molte email di spam ti chiedono di rispondere. La tua risposta viene registrata e l'indirizzo conservato.
Il controllo e-mail della perdita isleaked.com potrebbe facilmente essere un approccio più sofisticato. Mentre affermano:
Non raccogliamo e-mail, URL / indirizzi IP, registri di accesso né controlliamo i risultati. O non facciamo nulla di dannoso con il tuo dispositivo durante il test!
... ci sono pochi motivi per fidarsi del sito. Troy Hunt, che ha una reputazione da difendere, spiega come funziona il suo sito, quindi ha senso usarlo.
Il verdetto: non reagire senza i fatti
Ciò che possiamo imparare da questo è che nessuno dovrebbe agire in base a richieste di violazione dei dati e hacking senza possedere tutti i fatti. Ci sono semplicemente troppe variabili da tenere in considerazione.
Con le affermazioni dell'hacking di Gmail, sembra ragionevole supporre che i presunti hacker stessero semplicemente verificando la loro raccolta di indirizzi, presumibilmente utilizzata in varie campagne di spam.
Alcuni erano autentici, altri scaduti da tempo.
Il miglior sito Web per verificare se la tua e-mail è stata hackerata e trovata su un sito come Pastebin.com è haveibeenpwned.com.
Ironia della sorte, per quanto riguarda i 5 milioni di indirizzi di Gmail che presumibilmente sono stati hackerati da Google, è stata la stampa tecnologica ad essere veramente promossa.
Rob Hyrons tramite Shutterstock
Christian Cawley è vicedirettore per la sicurezza, Linux, DIY, programmazione e spiegazione tecnica. Produce anche The Really Useful Podcast e ha una vasta esperienza nel supporto di desktop e software. Un collaboratore della rivista Linux Format, Christian è un armeggiatore di Raspberry Pi, amante di Lego e fan dei giochi retrò.
