Μια ματιά στις πιο διαδεδομένες τεχνικές hacking
infosec

Μια ματιά στις πιο διαδεδομένες τεχνικές hacking

Εάν έχετε διαβάσει για ιστορικές μάχες, θα γνωρίζεται ότι δεν έχουν υπάρξει δυο ολόιδιοι εχθροί. Ωστόσο πάντα χρησιμοποιούνται κοινές τεχνικές...
Read More
infosec

Τα online trolls και τα bots στην υπηρεσία των πολιτικών!

Όλοι μας έχουμε ακουστά τα “trolls” (ψεύτικοι λογαριασμοί) του διαδικτύου. Μερικοί από εμάς μπορεί, κατά καιρούς, να έχουμε συναντήσει /...
Read More
infosec

Spectre V2 patch: Μείωση της απόδοσης σε Linux έως και 50%

Πόσες θυσίες είσαστε διατεθειμένοι να κάνετε για να σιγουρευτείτε ότι ο υπολογιστής σας είναι ασφαλής? Οι περισσότεροι χρήστες υπολογιστών που...
Read More
infosec

Apple: Τα security updates σας προστατεύουν από IDN homograph attacks

Πόσο συχνά αναβαθμίζετε τις Apple συσκευές σας; Σε περίπτωση που αμελείτε τις αναβαθμίσεις, ανατρέξτε τώρα στο κινητό σας και κάντε άμεσα...
Read More
infosec

Instagram: Bάζει τέλος στα third-apps και τους ψεύτικους followers

Στον κόσμο του Instagram, οι δημοφιλείς σε όλους «influencers» δεν κρύβουν πλέον, πως αγοράζουν τους ακόλουθους, τα likes και τα...
Read More
Latest Posts

Credential stuffing: Βρέθηκε βάση δεδομένων με 42 εκατομμύρια email

Μία τεράστια μη κρυπτογραφημένη βάση δεδομένων που περιείχε διευθύνσεις email και passwords, καθώς και μερικά στοιχεία πιστωτικών καρτών, βρέθηκε σε δωρεάν hosting υπηρεσία. Ο διαχειριστής της υπηρεσίας έστειλε ένα αντίγραφο της βάσης στον Troy Hunt, έναν ερευνητή ασφαλείας και δημιουργό του Have I been pwned, ώστε να την συγκρίνει με τα υπάρχοντα στοιχεία και να διαπιστωθεί εάν επρόκειτο για νέα παραβίαση δεδομένων.  Πιστεύεται ότι προορίζεται για Credential stuffing επίθεση.

Credential stuffing email

Ο ερευνητής Troy, κρίνοντας από την διαμόρφωση του αρχείου πιστεύει ότι πρόκειται για μια λίστα στην οποία έχουν συγκεντρωθεί διευθύνσεις από προηγούμενες παραβιάσεις. Ο πιο πιθανός λόγος που δημιουργήθηκε η βάση  πιστεύεται ότι είναι το credential stuffing.

Το credential stuffing είναι ένας τύπος επίθεσης, όπου στοιχεία σύνδεσης (συνήθως usernames και Passwords) από προηγούμενες παραβιάσεις, δοκιμάζονται από αυτοματοποιημένα προγράμματα, έναντι διαφορετικών υπηρεσιών. Για παράδειγμα, δοκιμάζοντας την βάση δεδομένων που διέρρευσε το 2016 από το Dailymotion στην google, είναι credential stuffing. Καθώς πολλοί είναι οι χρήστες που χρησιμοποιούν τον ίδιο συνδυασμό email και password σε παραπάνω από έναν online λογαριασμό, μέσω credential stuffing παραβιάζονται πολλοί λογαριασμοί.

Ο Troy, μέσω μιας δικιάς του χθεσινής δημοσίευσης δήλωσε ότι ανέλυσε την βάση και κατέληξε στο συμπέρασμα ότι το 93% των διευθύνσεων υπήρχαν ήδη στην βάση του Have I been pwnd.  Ωστόσο, το υπόλοιπο 7% που δεν υπήρχε, αντιστοιχεί σε περισσοτέρους από 2.5 εκατομμύρια συνδυασμούς χρηστών.

Επίσης μετά από προσπάθεια του Troy να καταλάβει από που προέρχεται αυτή η βάση, δεν κατέληξε σε κάποιο συμπέρασμα, καθώς δεν υπάρχει κάποιο συγκεκριμένο pattern. Οι διευθύνσεις φαίνεται να έχουν συνταχθεί με τυχαία σειρά.

Οι κυβερνοεγκληματίες ανταλλάσσουν βάσεις δεδομένων με login credentials σε καθημερινή βάση. Έτσι όταν διαρρεύσει ένας συνδυασμός που χρησιμοποιείται, υπάρχει πιθανότητα να βρεθεί σε πολλά διαφορετικά χέρια. Για αυτόν τον λόγο συνιστάται η χρήση μεγάλων και περίπλοκων κωδίκων πρόσβασης, αλλά πιο βασικό είναι να χρησιμοποιείται διαφορετικό Password σε κάθε online υπηρεσία.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *