Oglas

Nakon vijesti o velikom kršenju Googleovih poslužitelja koji je rezultirao hakiranjem navodnih 5 milijuna adresa e-pošte, razne su web stranice sugerirale da čitatelji trebaju provjerite jesu li bile žrtve unošenjem njihovih adresa e-pošte u "alate za provjeru" - web mjesta koja mogu utvrditi je li adresa e-pošte na popisu hakiranih vjerodajnice.

Problem je u tome što neki od ovih alata za provjeru nisu bili legitimni koliko bi se web stranice koje ih povezuju mogle nadati ...

5 milijuna adresa e-pošte: istina

Tada je prijavljeno kao masovno curenje od 5 milijuna korisničkih imena i lozinki za Gmail račun, ubrzo se pokazalo da je priča dobro, upravo to: priča.

Objasnivši to malo kasnije, Google je otkrio da je manje od 2% kombinacija korisničkog imena i zaporke bilo točno, te da bi njihova većina sigurnosnih alata za prijavu uhvatila većinu tih.

MUO-e za provjeru-muljaža dolara

Oni su također pojasnili da vjerodajnice nisu hakirane s njihovih vlastitih poslužitelja, već s drugih web lokacija:

Važno je napomenuti da u ovom slučaju i u drugim slučajevima propuštena korisnička imena i lozinke nisu rezultat kršenja Googleovih sustava. Često se te vjerodajnice dobivaju kombinacijom drugih izvora.

instagram viewer

Na primjer, ako ponovo upotrebljavate isto korisničko ime i lozinku na web-lokacijama, a neko od tih web mjesta se hakuje, vaše vjerodajnice mogu se koristiti za prijavu na ostale.

Dakle, Gmail račun prikupljen u prethodnom kršenju - visoki profil ili na neki drugi način - mogao je biti jedan od onih koji se nalaze u popisu podataka o vjerodajnicama u rukama "hakera". U osnovi, informacije koje su možda već bile na mreži u jednom ili drugom obliku, Gmail račune citirane iz više izvora.

Ali kako je ta priča tako brzo prešla u tok? Vjerojatno uz pomoć velikog, okruglog broja poput 5 milijuna i pametnog niza hakera koji su lozinke za račun objavili na ruskom Bitcoin forumu. Bacite se na alat za provjeru na mreži koji potvrđuje je li vaš vlastiti račun e-pošte na smeću i imate veliku vijest.

Naravno, čini se da je to vjerojatno isleaked.com nije web mjesto za koje su ljudi mislili da jest.

Kako djeluje lažna hakirana provjera računa e-pošte

Provjera adrese e-pošte s bazom podataka (što može biti SQL, Access ili čak tekstualna datoteka Pa što je uopće baza podataka? [MakeUseOf objašnjava]Za programera ili ljubitelja tehnologije koncept baze podataka nešto je što se doista može shvatiti zdravo za gotovo. Međutim, mnogima je sam koncept baze podataka malo strani ... Čitaj više ) hakiranih računa e-pošte relativno je jednostavno. U kombinaciji s lako skinuti skriptu takva web stranica može biti postavljena za 30 minuta ili tako nešto.

U međuvremenu, Troy Hunt ima puno bolji pristup, zbog čega biste trebali koristiti njegovu web stranicu kako biste provjerili curenje vaših vjerodajnica svaki put kad pročitate ili čujete o hakiranju računa.

MUO-e za provjeru-pwned

Kako je objasnio na svom blogu, Hunt je izgradio Jesam li se poklonio?, legitimna web lokacija (Hunt je Microsoft MVP for Security Developer Security) namijenjena prosječnim korisnicima da upišu svoju adresu e-pošte i saznaju jesu li bili hakirani ili ne. Korištenje podataka poslanih na web mjesta poput Pastebin.com, čak vam govori koje je kršenje odgovorno za prisustvo vašeg računa e-pošte u njegovoj bazi podataka.

Tražite legitiman provjereni račun e-pošte?

Kad se prikazuju rezultati, web mjesto prikazuje naziv web stranice s koje su procurili podaci vašeg računa. Nadamo se da bi vam web mjesto privatno poslalo e-poštom ili objavilo najavu.

(Naravno, ako ste zabrinuti da je vaš račun e-pošte hakiran, svejedno biste trebali promijeniti zaporku. Zapamti učini ga sigurnim i nezaboravnim 6 savjeta za stvaranje neraskidive lozinke koje se možete sjetitiAko vaše lozinke nisu jedinstvene i neraskidive, možete otvoriti ulazna vrata i pozvati pljačkaše na ručak. Čitaj više .)

MUO-e-checker-muljaža-ohnoes

Kao što vidite sa gornje slike, moj račun e-pošte bio je jedan od mnogih koji su pronađeni u masovnom kršenju Adobea iz 2013. godine. Trebali biste upotrijebiti podatke koje pruža Huntova web lokacija da djeluje odmah, iako imajte na umu da će i kad promijenite lozinku vaša adresa e-pošte ostati na toj web lokaciji.

Ako je praktično, također bi bilo vrijedno razmotriti promjenu adrese e-pošte koju koristite sa svojim internetskim računima.

Zbog revnosti ne bi trebalo biti stvar prošlosti

Vitalni element novinarstva je due diligence; provjera činjenica. Jednostavno regurgitiranje priopćenja za javnost nije dovoljno. To može učiniti bilo koji pisac, bilo da se radi o izlaganju sadržaja za 1 USD na 1000 riječi ili na ime vrhunskog imena u objavljivanju.

Nažalost na World Wide Webu, to se ne događa dovoljno.

Nekoliko minuta provjere činjenica pokazalo bi da je zahtjev za 5 milijuna adresa izmišljotina. Kao što smo tada izvijestili, adrese su bile sakupljene iz zbirke prethodnih curenja Gmail lozinke curi na mreži, Microsoft baca Windows Phone i još više... [Tech News Digest]Također, negativne kritike, Deezer u SAD-u, Google Pyramids, NES 3DS i osvjetljavajući stroj Rube Goldberg. Čitaj više . Ruski su hakeri uspjeli sastaviti popis, a ne prekršiti Googleovu sigurnost.

MUO-e za provjeru-muljaža-isleaked

U međuvremenu je posebno sumnjala web-lokacija koju su preporučile mnoge web stranice za provjeru e-pošte, isleaked.com. Zanimljivo registrirano samo dva dana prije curenja, u Rusiji je njezino naglo postojanje bilo izuzetno slučajno ili planirano.

Kao što uvijek kažem, u mrežnoj sigurnosti nema slučajnosti.

Uostalom, koji je bolji način da potvrdite popis adresa za koje tvrdite da su hakirani nego navesti vlasnike računa da provjere da li ih i dalje koriste ili ne? To je modus rada neželjene pošte - mrtve adrese su beskorisne, zbog čega mnogi neželjene e-poruke traže od vas da odgovorite. Vaš je odgovor zabilježen, a adresa zadržana.

Provjera protoka e-pošte isleaked.com lako bi mogao biti sofisticiraniji pristup. Iako tvrde:

Ne prikupljamo vaše adrese e-pošte, URL / IP adrese, evidencije pristupa niti rezultate provjera. Ili ne činimo ništa štetno s vašim uređajem za vrijeme testa!

... malo je razloga za povjerenje web mjestu. Troy Hunt, koji ima reputaciju koju podržava, objašnjava kako njegova web-lokacija funkcionira, tako da je ima smisla koristiti.

Presuda: Nemojte reagirati bez činjenica

Ono što možemo naučiti iz ovoga je da nitko ne bi trebao postupiti po tvrdnjama o kršenjima i hakiranju podataka bez posjedovanja potpunih činjenica. Jednostavno je previše varijabli koje treba uzeti u obzir.

Uz tvrdnje o hacku na Gmailu, čini se da je sigurna pretpostavka da su navodni hakeri jednostavno verificirali svoju kolekciju adresa, vjerojatno korištenih u različitim kampanjama neželjene pošte.

Neke su bile originalne, druge su istekle.

Najbolje web mjesto za provjeru je li vaša e-pošta hakirana i našla se na web mjestu kao što je Pastebin.com haveibeenpwned.com.

Ironično, što se tiče 5 milijuna Gmail adresa koje su navodno hakirane od Googlea, tehnološka štampa je zaista bila pwned.

Rob Hyrons preko Shutterstoka

Christian Cawley je zamjenik urednika za sigurnost, Linux, DIY, programiranje i objašnjene tehnologije. On također proizvodi stvarno korisni podcast i ima veliko iskustvo u podlozi za radnu površinu i softver. Christian koji je suradnik časopisa Linux Format, Christian je majstor koji proizvodi Raspberry Pi, ljubitelj Lego i ljubitelj retro igara.