16 εκατομμύρια password της Fortune 500 κυκλοφορούν στο Dark Web

“password”, “passw0rd” και “password1” παραμένουν δημοφιλείς επιλογές …

Σύμφωνα με το ImmuniWeb, υπάρχουν σήμερα πάνω από 21 εκατομμύρια (21.040.296) κλεμμένα credentials χρηστών που ανήκουν στην Fortune 500 που είναι διαθέσιμα στο Dark Web – πάνω από 16 εκατομμύρια (16.055.871) εκ των οποίων διακυβεύονταν τους τελευταίους 12 μήνες.

Ένα τεράστιο 95 τοις εκατό των credentials περιελάμβανε μη κρυπτογραφημένα, ή ήδη bruteforced και hacked από τους επιτιθέμενους, plaintext κωδικοί πρόσβασης, λέει η εταιρεία.

(Πάνω από τα μισά από τα ευρύτερα διαθέσιμα στο κοινό στοιχεία είναι “ξεπερασμένα ή ψεύτικα, ή απλά προέρχονται από ιστορικές παραβιάσεις σε ψευδή προσποίηση για πρόσφατα συμβιβασμένα αρχεία” σημειώνει ωστόσο, αν και αυτό μπορεί να αποδειχθεί λίγη παρηγοριά στις ομάδες ασφαλείας στις εν λόγω εταιρείες).

SecNewsTV

23.2K subscribers

Περισσότερα... Subscribe!

Το ImmuniWeb που έχει ως βάση την Ελβετία ανιχνεύει σε διάφορα φόρουμ στο Διαδίκτυο, το Pastebin, τα κανάλια IRC, τα κοινωνικά δίκτυα, τις συζητήσεις μέσω μηνυμάτων κ.λπ. στο δίκτυο TOR, για να αποκαλύψει λεπτομέρειες σχετικά με την άνοδο της αγοράς credentials. (Τα κλεμμένα credentials μπορούν να χρησιμοποιηθούν για επιθέσεις σε δίκτυα, με την αρχική πρόσβαση να χρησιμοποιείται για κλιμάκωση των δικαιωμάτων).

Τεχνολογία, Ενέργεια, Χρηματοοικονομικές Υπηρεσίες εκτίθενται περισσότερο

Μεταξύ των αποκαλύψεων στην έκθεση σήμερα: ο κωδικός πρόσβασης “password” (ο οποίος θεωρείται εξαιρετικά ισχυρός) παραμένει εξαιρετικά δημοφιλής στους χρήστες, μαζί με πονηρές και απροσδόκητες ανατροπές όπως “passw0rd” και “password1″.

Οι κλάδοι της τεχνολογίας, των χρηματοπιστωτικών υπηρεσιών και της ενέργειας είναι οι τρεις μεγαλύτεροι κλάδοι με τον μεγαλύτερο όγκο credentials που εκτίθενται, καθώς το 42% των κλεμμένων κωδικών πρόσβασης «σχετίζεται κατά κάποιο τρόπο με το όνομα της επιχείρησης του θύματος ή με τον εν λόγω παραβιάζοντα πόρο, αποτελεσματικός.”

Τα εργαλεία bruteforcing με κωδικό πρόσβασης είναι ευρέως διαθέσιμα στο διαδίκτυο, όπου χρησιμοποιούνται τόσο από τους ερευνητές που ασχολούνται με το penetration όσο και από τους black hat hackers.

(Καθώς αυξάνεται η ισχύς του υπολογιστή στους χρήστες, η ταχύτητα με την οποία μπορούν να σπάσουν ακόμα και οι κρυπτογραφημένοι κωδικοί πρόσβασης αυξάνεται ραγδαία, όπως αποκάλυψε το Hashcat του Φεβρουαρίου).

(Οι hackers δεν κλειδώνουν ποτέ λογαριασμούς, δεδομένου ότι συνήθως δεν επιχειρούν να μαντέψουν έναν κωδικό πρόσβασης στη σελίδα σύνδεσης του λογαριασμού live λογαριασμών. Αντίθετα, συνήθως αγοράζουν ένα αρχείο αναγνωριστικών χρηστών και password hashes: μια απόπειρα κακοποίησης σε αυτό το σενάριο συνεπάγεται τη χρήση τέτοιων εργαλείων για να βρεθεί η ισοδύναμη αριθμητική αναπαράσταση αυτού του hash για να αποκαλυφθεί ο κωδικός πρόσβασης ).

Κλεμμένα  credentials χρηστών: Τα πιο δημοφιλή password

Η Ilia Kolochenko, Διευθύνων Σύμβουλος και Ιδρυτής του ImmuniWeb, δήλωσε: “Αυτοί οι αριθμοί είναι τόσο απογοητευτικοί και ανησυχητικοί. Οι κυβερνοεγκληματίες είναι έξυπνοι και ρεαλιστές, εστιάζουν στον συντομότερο, φθηνότερο και ασφαλέστερο τρόπο για να αποκτήσουν τα credentials σας.

“Ο μεγάλος πλούτος των κλεμμένων credentials που είναι προσβάσιμα στο Dark Web είναι ένας σύγχρονος φορέας Klondike για τους hacker που δεν χρειάζεται καν να επενδύσουν σε ακριβά APTs με διάρκεια 0 ημερών ή χρονοβόρα. Με κάποια επιμονή, μπορούν εύκολα να ξεπεραστούν από τα συστήματα ασφαλείας και να αρπάξουν αυτό που θέλουν.

Υπήρχαν μόνο 4,9 εκατομμύρια (4,957,093) πλήρως μοναδικών κωδικών πρόσβασης μέσα στα 21 εκατομμύρια αρχεία που η εταιρεία αναγνώρισε, γεγονός που υποδηλώνει ότι πολλοί χρήστες χρησιμοποιούν ταυτόσημους ή παρόμοιους κωδικούς πρόσβασης. Συνιστά τη χρήση μιας λύσης Attack Surface Management – ASM για τη χαρτογράφηση του κινδύνου, την εφαρμογή μιας πολιτικής κωδικών πρόσβασης σε ολόκληρο τον οργανισμό που να επιβάλλεται στην ακεραιότητα των εσωτερικών συστημάτων και των συστημάτων τρίτων και να χρησιμοποιεί πάντοτε έλεγχο ταυτότητας δύο παραγόντων (2FA) στα κρίσιμα συστήματα.