Russian Hacking Gang Cattura 1,2 miliardi di credenziali: cosa dovresti fare

Annuncio pubblicitario

Cosa ottieni quando attraversi una dozzina di hacker criminali russi con 420.000 siti Web con una vulnerabilità di iniezione SQL? Ottieni 4,5 miliardi di record di utenti compromessi nelle mani di quegli hacker.

Martedì, il Il New York Times ha riferito che Hold Security di Milwaukee, Wisconsin, ha scoperto un database pieno di credenziali rubate. Alex Holden, capo responsabile della sicurezza delle informazioni di Hold Security, ha rintracciato la fonte del furto credenziali per un piccolo squillo di hacker di poco meno di una dozzina di uomini di 20 anni, con sede nel centro-sud Russia. Ha soprannominato il gruppo "CyberVor".

Holden ha spiegato che la "banda di hacker" consisteva in una squadra di giovani uomini, ognuno con il proprio ruolo - alcuni programmi di scrittura, altri che lavoravano per estrarre le credenziali dai dati. L'intero outfit funziona come un vero business.

La banda di pirateria russa

Secondo Holden, CyberVor è iniziato nel 2011 come una squadra di spammer. Il piano aziendale era quindi quello di acquistare informazioni di contatto rubate dal mercato nero al fine di inviare e-mail di spamming di massa per i clienti. Nel corso dei prossimi anni, il team di imprenditori criminali ha creato una rete bot, un'enorme rete di computer infettati da un virus che consente loro di essere utilizzati per inviare esplosioni di spam.

Nel tempo, il team ha utilizzato la sua bot-net per verificare quali siti Web fossero vulnerabili a un attacco di hacking con iniezione SQL. Una volta compilato un elenco di siti Web, il team ha quindi iniziato a lavorare eseguendo l'hack sul sito ed estraendo l'intero contenuto del database memorizzato lì.

Con l'accesso al database, il gruppo è stato in grado di compilare i 4,5 miliardi di record, che si sono rivelati contengono un totale complessivo di 1,2 miliardi di credenziali univoche di nome utente e password e 542 milioni di e-mail uniche indirizzi.

Cosa significa

Se pensi di poter rimanere indenne da questa particolare minaccia alla sicurezza, ripensaci. Considerando che attualmente ci sono poco meno di 3 miliardi di utenti Internet nel mondo, una violazione di 1,2 miliardi di nome utente e password unici le credenziali rappresentano un successo da record da parte degli hacker criminali e significano anche che le tue credenziali sono molto probabili rischio.

Orla Cox, la direttrice di Security Response per Symantec, ha riferito alle notizie di NPR che l'approccio più sicuro a questo è di supporre che le credenziali siano compromesse.

"Penso che tutti gli utenti di Internet dovrebbero presumere che ne siano stati colpiti. Chiaramente questi non sono opportunisti, non sono hobbisti. Questi sono criminali informatici a tempo pieno che probabilmente hanno compiuto per diversi mesi, forse anche anni. "

Come fai a sapere se alcune delle tue credenziali sono state interessate? Purtroppo, non fino a quando Hold Security pubblica il suo strumento online che ti consentirà di verificare se le tue informazioni sono nel database.

Nel frattempo, Hold Security sta sfruttando la violazione creando un suite di servizi destinato ad aiutare i proprietari di siti Web e gli utenti di Internet a gestire la minaccia di questa banda di hacker. Tali servizi includono quanto segue:

• Servizio di notifica delle violazioni (BNS): ti avvisa se il tuo sito è stato interessato da questa violazione o da qualsiasi altra violazione della sicurezza. Costo: $ 120 / anno
• Pen Testing and Audit Services - Controllerà il tuo sito e troverà eventuali vulnerabilità. Nessun prezzo elencato.
• Servizio di integrità delle credenziali: ti avvisa se qualcuno degli utenti del tuo sito web ha avuto credenziali compromesse. Nessun prezzo elencato.
• Servizio di monitoraggio dell'identità elettronica - Indicato per le persone che vogliono sapere se la loro identità elettronica è vulnerabile o compromessa. La pre-registrazione è disponibile, poiché il servizio è in fase di sviluppo.

Cosa dovresti fare

Naturalmente, l'approccio più economico per scrivere un assegno a Hold Security per dirti se sei stato interessato, è semplicemente cambiare tutte le tue password. Mentre questo può essere fastidioso da fare, così vicino alle calcagna del Fiasco dal cuore solo pochi mesi fa Heartbleed - Cosa puoi fare per stare al sicuro? Leggi di più , è davvero l'unica scommessa sicura che devi proteggere i tuoi account. Il problema ovviamente è che non puoi davvero farlo finché non sai che i siti web che usi non sono vulnerabili a SQL Injection.

Se vuoi determinare se i siti web che utilizzi per accedere ai tuoi account sono sicuri o meno, allora avrai bisogno di un modo per sapere se sono al sicuro dagli attacchi SQL Injection: l'arma preferita da questo particolare hacker russo banda.

Per fortuna, è abbastanza facile controllare se un sito è vulnerabile a quel particolare hack. Tutto quello che devi fare è trovare una pagina sul sito che si carica in modo dinamico dal database back-end. È abbastanza facile con un sito basato su PHP cercando l'URL strutturato con la query, in questo modo: " http://www.website.com/page.php? id = 32”

Un rapido test per la vulnerabilità di SQL Injection è l'aggiunta di una singola citazione alla fine della riga. Se la pagina Web si carica ancora bene, il sito è protetto da questo attacco. Se restituisce un errore "Query SQL non riuscita", il sito è vulnerabile e dovresti presumere che i tuoi dati memorizzati siano stati compromessi.

Aggiungendo a ‘ all'URL, stai verificando se potresti aggiungere parametri SQL aggiuntivi per attivare un comando SQL più invasivo.

Se scopri che il sito Web è sicuro, vai avanti e modifica le tue password lì. Se noti che è ancora vulnerabile a un attacco SQL Injection, evita di modificare le tue credenziali e contatta invece il proprietario del sito Web e informalo della vulnerabilità.

Mentre ci sei ...

Mentre vai in giro e cambi le password su tutti i siti protetti, prendi in considerazione le seguenti linee guida.

• La tua password è davvero unica e forte? Assicurati di dare un'occhiata ai nostri numerosi articoli con suggerimenti per la generazione di password 13 modi per creare password sicure e memorabiliVuoi sapere come creare una password sicura? Queste idee creative per le password ti aiuteranno a creare password sicure e memorabili. Leggi di più .
• Usare un Gestione password Usa una strategia di gestione delle password per semplificarti la vitaGran parte dei consigli sulle password è stato quasi impossibile da seguire: utilizzare una password complessa contenente numeri, lettere e caratteri speciali; cambiarlo regolarmente; trovare una password completamente unica per ogni account ecc ... Leggi di più e assicurati che la tua password sia diversa per ogni singolo sito che usi. Prova a usare a generatore di password I 5 migliori generatori di password online per password casuali fortiCerchi un modo per creare rapidamente una password infrangibile? Prova uno di questi generatori di password online. Leggi di più per ogni sito.
• Ripeto: utilizzare una password univoca per ogni luogo!

Oltre alla gestione delle password, esiste un altro approccio creativo che ti consente di "tornare" dagli hacker. Ciò implica assicurarsi che tutti i tuoi account online contengano informazioni false: indirizzi fasulli, numeri di telefono e indirizzi e-mail. In questo modo, ogni volta che si verifica questo tipo di violazione, puoi semplicemente ridere, perché tutto il contatto personale info - in particolare l'e-mail che di solito viene rimossa per scopi di spamming - è un vero e proprio problema per pirata.

Ovviamente, tale approccio non funzionerebbe per un sito finanziario che di solito richiede un'identificazione confermata, ma si spera che i siti Web finanziari sono abbastanza avanti rispetto alla curva di sicurezza per essere più che sicuri da qualcosa come un'iniezione SQL mod.

Alla luce delle dimensioni e della portata di quest'ultimo attacco, sei preoccupato per le tue informazioni private? Hai dei piani per affrontarlo? Condividi i tuoi pensieri nella sezione commenti qui sotto!

Fonte: New York Times
Crediti immagine: Uomo invisibile Via Shutterstock, kentoh / Shutterstock