Joseph Goodman
0 
1113
191
Что вы получаете, когда сталкиваетесь с дюжиной российских преступных хакеров с 420 000 веб-сайтов с уязвимостью SQL-инъекции? Вы получаете 4,5 миллиарда скомпрометированных записей пользователей в руках этих хакеров.
Во вторник New York Times сообщила, что Hold Security of Milwaukee, штат Висконсин, обнаружил базу данных, заполненную украденными учетными данными. Алекс Холден, директор информационной безопасности Hold Security, отследил источник похищенных учетных данных до небольшого хакерского кольца, насчитывающего около дюжины двадцатилетних мужчин, базирующихся на юге центральной части России. Он дублировал группу “CyberVor”.
Холден объяснил, что “хакерская банда” состоял из команды молодых людей, каждый из которых выполнял свою роль - некоторые писали программы, другие работали над извлечением учетных данных из данных. Весь наряд работает как настоящий бизнес.
Русская хакерская банда
По словам Холдена, CyberVor появился в 2011 году как команда спаммеров. Тогда бизнес-план заключался в том, чтобы купить украденную контактную информацию на черном рынке, чтобы рассылать клиентам спам по электронной почте. В течение следующих нескольких лет команда криминальных предпринимателей создала бот-сеть - огромную сеть компьютеров, зараженных вирусом, которая позволяет использовать их для рассылки спам-ботов..
Со временем команда использовала свою бот-сеть для проверки того, какие сайты уязвимы для хакерской атаки SQL-инъекцией. Как только список веб-сайтов был скомпилирован, команда приступила к работе по взлому сайта и извлечению полного содержимого базы данных, хранящейся там..
Имея доступ к базе данных, группа смогла скомпилировать 4,5 миллиарда записей, которые, как оказалось, содержали в общей сложности 1,2 миллиарда уникальных учетных данных имени пользователя и пароля и 542 миллиона уникальных адресов электронной почты..
Что это значит
Если вы думаете, что можете не пострадать от этой конкретной угрозы безопасности, подумайте еще раз. Учитывая, что в настоящее время в мире насчитывается чуть менее 3 миллиардов пользователей Интернета, нарушение в 1,2 миллиарда уникальных учетных данных имени пользователя и пароля представляет собой рекордный успех со стороны преступных хакеров, а также означает, что ваши учетные данные с большой вероятностью риск.
Орла Кокс, директор службы безопасности Symantec, сообщила NPR, что самый безопасный подход - предположить, что ваши учетные данные скомпрометированы.
“Я думаю, что все пользователи интернета должны предположить, что это на них повлияло. Очевидно, что это не оппортунисты, они не любители. Это полностью занятые киберпреступники, которые, вероятно, занимались этим в течение нескольких месяцев, может даже лет.”
Как узнать, были ли затронуты какие-либо ваши учетные данные? К сожалению, вы этого не сделаете, пока Hold Security не опубликует свой онлайн-инструмент, который позволит вам проверить, есть ли ваша собственная информация в базе данных..
Между тем, Hold Security извлекает выгоду из взлома, создавая набор сервисов, предназначенных для того, чтобы помочь владельцам сайтов и пользователям Интернета справиться с угрозой со стороны этой хакерской банды. Эти услуги включают в себя следующее:
- Служба уведомления о нарушении (BNS) - предупреждает вас, если это нарушение затронуло ваш сайт или любое другое нарушение безопасности. Стоимость: $ 120 / год
- Pen Pen Testing и Audit Services - проведет аудит вашего сайта и найдет любые уязвимости. Цены не указаны.
- Служба целостности учетных данных - уведомляет вас о том, что кто-либо из пользователей вашего веб-сайта скомпрометировал учетные данные. Цены не указаны.
- Служба мониторинга электронных идентификационных данных - предназначена для лиц, которые хотят знать, являются ли их электронные идентификационные данные уязвимыми или скомпрометированы. Предварительная регистрация доступна, так как услуга находится в стадии разработки.
Что ты должен делать
Конечно, самый дешевый способ написания чека для Hold Security, чтобы сообщить вам, пострадали ли вы, - это просто изменить все ваши пароли. Хотя это может быть раздражающим, но так близко к фиаско Heartbleed всего несколько месяцев назад Heartbleed - Что вы можете сделать, чтобы оставаться в безопасности? Heartbleed - Что вы можете сделать, чтобы оставаться в безопасности? , это действительно единственная надежная ставка, которую вы должны защитить свои счета. Проблема, конечно, в том, что вы не сможете сделать это, пока не узнаете, что используемые вами сайты не уязвимы для SQL-инъекций..
Если вы хотите определить, являются ли веб-сайты, которые вы используете для доступа к своим учетным записям, безопасными или нет, вам потребуется способ узнать, безопасны ли они от атак SQL-инъекций - оружия, выбранного для этой конкретной российской хакерской банды..
К счастью, довольно легко проверить, уязвим ли сайт для данного взлома. Все, что вам нужно сделать, это найти страницу на сайте, которая динамически загружается из серверной базы данных. Это довольно просто для сайта на основе PHP, если искать URL, структурированный с помощью запроса, например: “http://www.website.com/page.php?id=32”
Быстрый тест на уязвимость SQL-инъекций - добавление одинарной кавычки в самом конце строки. Если веб-страница по-прежнему загружается нормально, сайт защищен от этой атаки. Если он возвращает “SQL-запрос не выполнен” ошибка, то сайт уязвим, и вы должны предположить, что ваши данные, которые там хранятся, были скомпрометированы.
Добавляя ' к URL, вы проверяете, можете ли вы добавить дополнительные параметры SQL, чтобы вызвать более инвазивную команду SQL.
Если вы обнаружите, что веб-сайт безопасен, тогда смените свои пароли. Если вы видите, что он по-прежнему уязвим для атаки SQL-инъекцией, не изменяйте свои учетные данные, а вместо этого свяжитесь с владельцем веб-сайта и сообщите ему об этой уязвимости..
Пока ты в этом…
Пока вы ходите и меняете свои пароли на всех защищенных сайтах, примите во внимание следующие рекомендации..
- Ваш пароль действительно уникальный и надежный? Обязательно ознакомьтесь с нашими многочисленными статьями с советами по генерации паролей. 7 способов создания безопасных и запоминающихся паролей 7 способов создания безопасных и запоминающихся паролей Наличие разного пароля для каждой службы является обязательным в современном онлайн-мире. , но есть ужасная слабость случайно сгенерированных паролей: невозможно запомнить их все. Но как ты можешь помнить ... .
- Используйте менеджер паролей. Используйте стратегию управления паролями, чтобы упростить свою жизнь. Используйте стратегию управления паролями, чтобы упростить свою жизнь. Практически невозможно следовать советам, касающимся паролей: используйте надежный пароль, содержащий цифры, буквы и специальные символы; меняйте его регулярно; придумайте совершенно уникальный пароль для каждой учетной записи и т. д. и убедитесь, что ваш пароль отличается для каждого используемого вами сайта. Попробуйте использовать генератор паролей 5 лучших онлайн-генераторов паролей для надежных случайных паролей 5 лучших онлайн-генераторов паролей для надежных случайных паролей Ищите способ быстро создать небьющийся пароль? Попробуйте один из этих онлайн генераторов паролей. для каждого сайта.
- Я повторяю: используйте уникальный пароль для каждый сайт!
Помимо управления паролями, есть еще один творческий подход, который позволяет вам на самом деле “вернись” у хакеров. Это подразумевает, что все ваши онлайн-аккаунты содержат ложную информацию - поддельные адреса, номера телефонов и адреса электронной почты. Таким образом, всякий раз, когда происходит такого рода нарушение, вы можете просто отшутиться, потому что вся личная контактная информация - особенно электронное письмо, которое обычно удаляется для рассылки спама, - является полным взломом для хакера..
Очевидно, что этот подход не сработает для финансового сайта, который обычно требует подтвержденной идентификации, но можно надеяться, что финансовые сайты достаточно далеко опережают кривую безопасности, чтобы быть более чем защищены от чего-то вроде взлома SQL-инъекций..
В свете размеров и масштабов этой последней атаки, Вы обеспокоены вашей личной информацией?? Есть ли у вас планы с этим бороться? Поделитесь своими мыслями в разделе комментариев ниже!
Источник: Нью-Йорк Таймс
Кредиты изображений: Человек-невидимка Via Shutterstock, kentoh / Shutterstock