Διαφήμιση
Μετά από τις αναφορές για μια τεράστια παραβίαση των διακομιστών της Google που οδήγησε σε υποτιθέμενη 5 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου που έχουν καταστραφεί, διάφοροι ιστότοποι υποδηλώνουν ότι οι αναγνώστες πρέπει ελέγξτε αν έχουν πέσει θύματα εισάγοντας τις διευθύνσεις ηλεκτρονικού ταχυδρομείου τους σε "εργαλεία ελέγχου" - ιστότοποι που μπορούν να καθορίσουν εάν μια διεύθυνση ηλεκτρονικού ταχυδρομείου βρίσκεται σε μια λίστα με hacked διαπιστευτήρια.
Το πρόβλημα είναι ότι μερικά από αυτά τα εργαλεία ελέγχου δεν ήταν τόσο νόμιμα όσο οι ιστοσελίδες που συνδέονταν με αυτές μπορούσαν να ελπίζουν ...
5 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου: η αλήθεια
Αναφέρεται εκείνη τη στιγμή ως μια τεράστια διαρροή 5 εκατομμυρίων χρηστών και κωδικών πρόσβασης λογαριασμού Gmail, σύντομα διαπιστώθηκε ότι η ιστορία ήταν, λοιπόν, ακριβώς αυτό: μια ιστορία.
Εξηγώντας το λίγο αργότερα, Η Google αποκάλυψε ότι λιγότερο από το 2% των συνδυασμών ονόματος χρήστη / κωδικού πρόσβασης ήταν ακριβείς
, και ότι τα δικά τους εργαλεία ασφάλειας σύνδεσης θα έπαιρναν την πλειοψηφία αυτών.
Διευκρίνισαν επίσης ότι τα διαπιστευτήρια δεν έχουν καταστραφεί από τους δικούς τους διακομιστές αλλά από άλλες ιστοσελίδες:
Είναι σημαντικό να σημειώσουμε ότι σε αυτήν την περίπτωση και σε άλλα, τα διερχόμενα ονόματα χρήστη και κωδικοί πρόσβασης δεν ήταν αποτέλεσμα παραβίασης των συστημάτων Google. Συχνά, τα διαπιστευτήρια αυτά λαμβάνονται με συνδυασμό άλλων πηγών.
Για παράδειγμα, αν επαναχρησιμοποιήσετε το ίδιο όνομα χρήστη και τον ίδιο κωδικό πρόσβασης σε ιστότοπους και ένας από αυτούς τους ιστότοπους γίνεται πειρατεμένος, τα διαπιστευτήριά σας θα μπορούσαν να χρησιμοποιηθούν για να συνδεθούν με τους άλλους.
Έτσι, ένας λογαριασμός στο Gmail που έχει ληφθεί σε μια προηγούμενη παραβίαση - υψηλό προφίλ ή άλλως - θα μπορούσε να ήταν ένας από εκείνους στην απόρριψη δεδομένων των διαπιστευτηρίων στα χέρια των «χάκερ». Ουσιαστικά, οι πληροφορίες που πιθανόν να ήταν ήδη σε απευθείας σύνδεση σε μία ή την άλλη μορφή, οι λογαριασμοί του Gmail κρέμονται από διάφορες πηγές.
Αλλά πώς ξεκίνησε αυτή η ιστορία τόσο γρήγορα; Πιθανώς με τη βοήθεια ενός μεγάλου, στρογγυλού αριθμού, όπως 5 εκατομμύρια, και την έξυπνη χορδή που τραβούσε τους χάκερ που δημοσίευσαν τους κωδικούς πρόσβασης λογαριασμού σε ένα ρωσικό φόρουμ Bitcoin. Πέτα σε ένα ηλεκτρονικό εργαλείο ελέγχου που επιβεβαιώνει αν ο δικός σας λογαριασμός ηλεκτρονικού ταχυδρομείου βρίσκεται στο χωματόδρομο και έχετε μια μεγάλη ιστορία ειδήσεων.
Φυσικά, φαίνεται πιθανό isleaked.com δεν είναι ο ιστότοπος που οι άνθρωποι νόμιζαν ότι ήταν.
Πώς λειτουργεί ένας ψεύτικος έλεγχος λογαριασμού ηλεκτρονικού ταχυδρομείου
Έλεγχος διεύθυνσης ηλεκτρονικού ταχυδρομείου σε βάση δεδομένων (που μπορεί να είναι SQL, Access ή ακόμα και ένα αρχείο κειμένου Έτσι, τι είναι μια βάση δεδομένων, ούτως ή άλλως; [Επεξηγήσεις MakeUseOf]Για έναν προγραμματιστή ή έναν ενθουσιώδη τεχνολογίας, η έννοια μιας βάσης δεδομένων είναι κάτι που πραγματικά μπορεί να θεωρηθεί δεδομένο. Ωστόσο, για πολλούς, η έννοια της ίδιας της βάσης δεδομένων είναι λίγο ξένη ... Διαβάστε περισσότερα ) των λογαριασμών ηλεκτρονικού ταχυδρομείου που έχουν καταστραφεί είναι σχετικά απλή. Σε συνδυασμό με ένα εύκολα downloaded script, ένας τέτοιος ιστότοπος θα μπορούσε να ρυθμιστεί σε περίπου 30 λεπτά.
Τροία Hunt, εν τω μεταξύ, έχει μια πολύ καλύτερη προσέγγιση, γι 'αυτό θα πρέπει να χρησιμοποιείτε το site του για να ελέγξετε για τη διαρροή των διαπιστευτηρίων σας κάθε φορά που διαβάζετε ή ακούτε ένα hack λογαριασμό.
Όπως εξηγείται στο ιστολόγιό του, Ο Χαντ έχει χτίσει Έχω μοιραστεί;, ένας νόμιμος ιστότοπος (Hunt είναι Microsoft MVP for Developer Security) που έχει σχεδιαστεί για τους μέσους χρήστες να πληκτρολογούν τη διεύθυνση ηλεκτρονικού ταχυδρομείου τους και να μάθουν αν έχουν χάσει ή όχι. Χρήση δεδομένων που έχουν υποβληθεί σε ιστότοπους όπως Pastebin.com, σας λέει ακόμη και ποια παραβίαση είναι υπεύθυνη για την παρουσία του λογαριασμού σας ηλεκτρονικού ταχυδρομείου στη βάση δεδομένων του.
Ψάχνετε για έναν νόμιμο έλεγχο λογαριασμού ηλεκτρονικού ταχυδρομείου που έχει εξαφανιστεί;
Όταν εμφανίζονται τα αποτελέσματα, ο ιστότοπος εμφανίζει το όνομα της ιστοσελίδας από την οποία διαρρέουν τα στοιχεία του λογαριασμού σας. Ας ελπίσουμε ότι ο ιστότοπος θα σας έστειλε μήνυμα ηλεκτρονικού ταχυδρομείου ή θα έκανε μια ανακοίνωση.
(Φυσικά, θα πρέπει να ανησυχείτε ότι ο λογαριασμός σας ηλεκτρονικού ταχυδρομείου έχει παραβιαστεί, θα πρέπει να αλλάξετε τον κωδικό πρόσβασής σας ούτως ή άλλως. Θυμάμαι να καθιστούν ασφαλές και αξέχαστο 6 Συμβουλές για τη δημιουργία ενός Unbreakable Password που μπορείτε να θυμάστεΕάν οι κωδικοί πρόσβασης δεν είναι μοναδικοί και άθλιοι, ίσως ανοίξετε την πόρτα και προσκαλέστε τους ληστές για μεσημεριανό γεύμα. Διαβάστε περισσότερα .)
Όπως μπορείτε να δείτε από την παραπάνω εικόνα, ο λογαριασμός μου ηλεκτρονικού ταχυδρομείου ήταν ένας από τους πολλούς που ανακτήθηκαν στην μαζική παραβίαση του Adobe του 2013. Θα πρέπει να χρησιμοποιήσετε τις πληροφορίες που παρέχει ο ιστότοπος της Hunt για να ενεργήσει αμέσως, αν και γνωρίζετε ότι ακόμη και όταν ο κωδικός σας έχει αλλάξει, η διεύθυνση ηλεκτρονικού ταχυδρομείου σας θα παραμείνει στην τοποθεσία.
Εάν είναι πρακτικό, ίσως αξίζει να εξεταστεί και η αλλαγή της διεύθυνσης ηλεκτρονικού ταχυδρομείου που χρησιμοποιείτε με τους λογαριασμούς σας στο διαδίκτυο.
Η Due Diligence δεν πρέπει να είναι ένα πράγμα του παρελθόντος
Ένα σημαντικό στοιχείο της δημοσιογραφίας είναι η δέουσα επιμέλεια. τον έλεγχο των γεγονότων. Η απλή ανατροπή των δελτίων τύπου δεν αρκεί. Οποιοσδήποτε συγγραφέας, ανεξάρτητα από το αν αναβλύζει περιεχόμενο για $ 1 ανά 1000 λέξεις ή έχει πληρώσει για ένα κορυφαίο όνομα στη δημοσίευση, μπορεί να το κάνει αυτό.
Δυστυχώς στον Παγκόσμιο Ιστό, δεν συμβαίνει αρκετό.
Λίγα λεπτά από τον έλεγχο των πραγματικών περιστατικών θα έδειχναν ότι τα 5 εκατομμύρια διευθύνσεις απαιτήσεων ήταν μια κατασκευή. Όπως αναφέρθηκε τότε, οι διευθύνσεις είχαν κηλιδωθεί από μια συλλογή προηγούμενων διαρροών Οι κωδικοί Gmail διαρροής σε απευθείας σύνδεση, η Microsoft σταγόνες Windows Phone, και Περισσότερα... [Tech News Digest]Επίσης, αρνητικές κριτικές, Deezer στις Η.Π.Α., Google Pyramids, NES 3DS και μια φωτίζουσα μηχανή Rube Goldberg. Διαβάστε περισσότερα . Οι Ρώσοι χάκερ μπόρεσαν να συγκεντρώσουν μια λίστα αντί να παραβιάζουν την ασφάλεια της Google.
Με ιδιαίτερη υποψία, εν τω μεταξύ, ήταν το site που συνιστάται από πολλούς ιστότοπους για να ελέγχει τα μηνύματα ηλεκτρονικού ταχυδρομείου, isleaked.com. Περιέργως καταχωρημένο μόλις δύο ημέρες πριν από τη διαρροή, στη Ρωσία, η ξαφνική του ύπαρξη ήταν είτε εξαιρετικά τυχαία είτε προγραμματισμένη.
Όπως πάντα λέω, δεν υπάρχουν συμπτώσεις στην ηλεκτρονική ασφάλεια.
Σε τελική ανάλυση, ποιος καλύτερος τρόπος για να επιβεβαιώσετε τη λίστα των διευθύνσεων που ισχυρίζεστε ότι έχετε hacked από το να αποκτήσετε τους κατόχους του λογαριασμού για να επαληθεύσετε αν εξακολουθούν να τις χρησιμοποιούν ή όχι; Είναι ο τρόπος λειτουργίας των spammers - οι νεκρές διευθύνσεις είναι άχρηστες, γι 'αυτό και πολλά ηλεκτρονικά μηνύματα spam σας ζητούν να απαντήσετε. Η απάντησή σας καταγράφεται και η διεύθυνση διατηρείται.
Ο έλεγχος ηλεκτρονικού ταχυδρομείου διαρροής isleaked.com θα μπορούσε εύκολα να είναι μια πιο εξελιγμένη προσέγγιση. Ενώ ισχυρίζονται:
Δεν συλλέγουμε τα μηνύματα ηλεκτρονικού ταχυδρομείου, τις διευθύνσεις URL / διευθύνσεις IP, τα αρχεία καταγραφής πρόσβασης και τα αποτελέσματα ελέγχου. Είτε δεν κάνουμε τίποτε βλαβερό με τη συσκευή σας κατά τη διάρκεια της δοκιμής!
... δεν υπάρχει κανένας λόγος να εμπιστευτείς τον ιστότοπο. Ο Troy Hunt, ο οποίος έχει τη φήμη να υποστηρίξει, εξηγεί πώς λειτουργεί ο ιστότοπός του, οπότε είναι λογικό να το χρησιμοποιήσετε.
Η ετυμηγορία: Μην αντιδράς χωρίς τα πραγματικά περιστατικά
Αυτό που μπορούμε να μάθουμε από αυτό είναι ότι κανείς δεν θα πρέπει να ενεργεί επί των ισχυρισμών των παραβιάσεων δεδομένων και των αχρήστων χωρίς να έχει τα πλήρη γεγονότα. Υπάρχουν απλά πάρα πολλές μεταβλητές που πρέπει να ληφθούν υπόψη.
Με τους ισχυρισμούς hack του Gmail, φαίνεται μια ασφαλής υπόθεση ότι οι υποτιθέμενοι χάκερ απλώς επαληθεύουν τη συλλογή των διευθύνσεών τους, που κατά πάσα πιθανότητα χρησιμοποιούνται σε διάφορες καμπάνιες ανεπιθύμητης αλληλογραφίας.
Ορισμένοι ήταν γνήσιοι, άλλοι έληξαν.
Ο καλύτερος ιστότοπος για να ελέγξετε αν το ηλεκτρονικό ταχυδρομείο σας έχει πειραχτεί και έχει βρει τον τρόπο του σε έναν ιστότοπο όπως το Pastebin.com είναι haveibeenpwned.com.
Κατά ειρωνικό τρόπο, όσον αφορά τις 5 εκατομμύρια διευθύνσεις Gmail που υποτίθεται ότι έχουν καταστραφεί από την Google, ήταν ο τύπος της τεχνολογίας που ήταν πραγματικά pwned.
Rob Hyrons μέσω του Shutterstock
Ο Christian Cawley είναι Αναπληρωτής Εκδότης για την Ασφάλεια, το Linux, το DIY, τον Προγραμματισμό και το Tech Explained. Παράγει επίσης το The Really Useful Podcast και έχει μεγάλη εμπειρία στην υποστήριξη desktop και λογισμικού. Ένας συνεισφέρων στο περιοδικό Linux Format, Christian είναι ένας tinkerer του Raspberry Pi, ένας εραστής του Lego και ένας ρετρό fan του τυχερού παιχνιδιού.