Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν
infosec

Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν

Πρόσφατα κυκλοφόρησε η είδηση, ότι σχεδόν 773 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και 21 εκατομμύρια passwords δημοσιεύθηκαν σε ένα φόρουμ hacking....
Read More
infosec

Instagram influencers ανακτούν τα accounts με τη βοήθεια hackers

Οι Instagram influencers που έχουν δει τους λογαριασμούς τους να χακάρονται και τις προσωπικές τους πληροφορίες να εκτίθενται, λένε ότι...
Read More
infosec

Windows 10: Πώς να διορθώσετε το browsing σφάλμα στο Microsoft Edge

Η τελευταία αναβάθμιση που κυκλοφόρησε από τη Microsoft για τα Windows 10 έφερε ένα πρόβλημα, το οποίο παρατηρείται όταν επιχειρεί...
Read More
infosec

Google Play: Κρυβόταν malware με τη χρήση των αισθητήρων κίνησης

Στην αγορά του Google Play υπάρχουν πολλές κακόβουλες εφαρμογές που δοκιμάζουν κόλπα για να αποφευχθεί η ανίχνευση τους. Για την...
Read More
infosec

Bug του Twitter δημοσίευε τα προσωπικά tweets των χρηστών για 5 χρόνια

Οι χρήστες του Twitter, οι οποίοι χρησιμοποιούν το δημοφιλές κοινωνικό δίκτυο από τις Android συσκευές τους, θα πρέπει να ελέγξουν...
Read More
Latest Posts

Credential stuffing: Βρέθηκε βάση δεδομένων με 42 εκατομμύρια email

Μία τεράστια μη κρυπτογραφημένη βάση δεδομένων που περιείχε διευθύνσεις email και passwords, καθώς και μερικά στοιχεία πιστωτικών καρτών, βρέθηκε σε δωρεάν hosting υπηρεσία. Ο διαχειριστής της υπηρεσίας έστειλε ένα αντίγραφο της βάσης στον Troy Hunt, έναν ερευνητή ασφαλείας και δημιουργό του Have I been pwned, ώστε να την συγκρίνει με τα υπάρχοντα στοιχεία και να διαπιστωθεί εάν επρόκειτο για νέα παραβίαση δεδομένων.  Πιστεύεται ότι προορίζεται για Credential stuffing επίθεση.

Credential stuffing email

Ο ερευνητής Troy, κρίνοντας από την διαμόρφωση του αρχείου πιστεύει ότι πρόκειται για μια λίστα στην οποία έχουν συγκεντρωθεί διευθύνσεις από προηγούμενες παραβιάσεις. Ο πιο πιθανός λόγος που δημιουργήθηκε η βάση  πιστεύεται ότι είναι το credential stuffing.

Το credential stuffing είναι ένας τύπος επίθεσης, όπου στοιχεία σύνδεσης (συνήθως usernames και Passwords) από προηγούμενες παραβιάσεις, δοκιμάζονται από αυτοματοποιημένα προγράμματα, έναντι διαφορετικών υπηρεσιών. Για παράδειγμα, δοκιμάζοντας την βάση δεδομένων που διέρρευσε το 2016 από το Dailymotion στην google, είναι credential stuffing. Καθώς πολλοί είναι οι χρήστες που χρησιμοποιούν τον ίδιο συνδυασμό email και password σε παραπάνω από έναν online λογαριασμό, μέσω credential stuffing παραβιάζονται πολλοί λογαριασμοί.

Ο Troy, μέσω μιας δικιάς του χθεσινής δημοσίευσης δήλωσε ότι ανέλυσε την βάση και κατέληξε στο συμπέρασμα ότι το 93% των διευθύνσεων υπήρχαν ήδη στην βάση του Have I been pwnd.  Ωστόσο, το υπόλοιπο 7% που δεν υπήρχε, αντιστοιχεί σε περισσοτέρους από 2.5 εκατομμύρια συνδυασμούς χρηστών.

Επίσης μετά από προσπάθεια του Troy να καταλάβει από που προέρχεται αυτή η βάση, δεν κατέληξε σε κάποιο συμπέρασμα, καθώς δεν υπάρχει κάποιο συγκεκριμένο pattern. Οι διευθύνσεις φαίνεται να έχουν συνταχθεί με τυχαία σειρά.

Οι κυβερνοεγκληματίες ανταλλάσσουν βάσεις δεδομένων με login credentials σε καθημερινή βάση. Έτσι όταν διαρρεύσει ένας συνδυασμός που χρησιμοποιείται, υπάρχει πιθανότητα να βρεθεί σε πολλά διαφορετικά χέρια. Για αυτόν τον λόγο συνιστάται η χρήση μεγάλων και περίπλοκων κωδίκων πρόσβασης, αλλά πιο βασικό είναι να χρησιμοποιείται διαφορετικό Password σε κάθε online υπηρεσία.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *