Hvad Dropbox Hack kan lære dig om tilstanden af websikkerhed
I den sidste uge havde Dropbox lavet overskrifter over et hack, der så email adresser og adgangskoder på 68 millioner Dropbox konti kompromitteret. For enhver Dropbox-bruger er dette naturligvis et problem, især hvis du opbevarer noget i Dropbox, det være sig personligt eller for arbejde.
Dine billeder, dokumenter, data osv. Kunne fås uden din viden ved hjælp af din email adresse og adgangskode tabt i den pågældende hack. Den gode nyhed er Der har ikke været nogen rapporter om noget ondsindet, der kommer ud af Dropbox hack, indtil nu. Men det betyder ikke, at der ikke er noget at bekymre sig om.
Om Dropbox hack
Først og fremmest, lad os få det ud af vejen: Dropbox-hacket foregik ikke bare i sidste uge. Mere end 68 millioner emailadresser og adgangskoder bliver stjålet i hacket, ja, men selve hacket skete 4 år siden, tilbage i 2012.
I stedet for at forestille sig en Hollywood hacker scene (hvoraf mange fik hacking forfærdeligt forkert), kom hacket til at være på grund af menneskelig fejl.
Hackere havde brugt brugernavne og adgangskoder fra et andet data brud til at logge ind på Dropbox konti. Et af disse konti tilhørte en Dropbox medarbejder, hvem havde brugt samme adgangskode til både det overskredede websted og deres Dropbox-konto.
Tilfældigt havde den samme medarbejder en mappe fuld af dokumenter indeholdende e-mail adresser på 68,680,741 Dropbox konti såvel som hashed adgangskoder. Spil, sæt og match.
1. Dropbox var ikke alene; LinkedIn blev ligeledes hacket
Tilbage i maj 2016 annoncerede LinkedIn noget, som lignede sidste uges Dropbox-hack. De opfordrede LinkedIn-brugere til at ændre deres adgangskoder "som et spørgsmål om bedste praksis" efter at have fået kendskab til tyveri af et sæt e-mails og adgangskoder, der havde fundet sted - du gættede det - i 2012.
Hvis du klikker på linket i det forrige afsnit, finder du intet om, hvor stort et datatab dette var selvom følelsen af uopsættelighed er tydelig med hyppige opdateringer til den pågældende side.
Hvad der skete var det mere end 117 millioner LinkedIn-konti blev påvirket, selv om det er muligt at det faktiske antal kunne være så højt som 167 millioner.
2. Hvorfor genoplader de hackede adgangskoder nu?
Datasætene for både Dropbox og LinkedIn er angiveligt bliver handlet i det mørke web nu (eller de var førende for en uge siden).
LinkedIns sæt var oprindeligt til salg for $ 2.200, mens Dropbox's går for lidt over $ 1200 - begge The værdien af disse datasæt mindsker jo længere de er derude, som en gang hovedparten af brugerne har ændret adgangskoderne, datasætene er ringe eller uden værdi.
Men hvorfor nu? Fire år efter hacket? Det nærmeste jeg fik svaret kommer fra Troy Hunt (han bliver nævnt ganske lidt i dette indlæg, og stort set alle andre steder), der skriver meget om cybersikkerhed. Jeg vil bare citere hvad han har at sige:
Uundgåeligt er der en katalysator, men det kan være mange forskellige ting; angriberen endelig beslutter at tjene penge på dem, de selv er målrettede og mister data eller i sidste ende handler det for noget andet af værdi.
3. Hacks og datafald forekommer oftere end alle bekymrer sig om at indrømme
Mens jeg læser om dette Dropbox hack, kom jeg på tværs af denne database bibliotek, Vigilante.pw et websted, der indeholder oplysninger om data brud. På dette punkts punkt indeholder den fulde database oplysninger om 1470 brud på over 2 milliarder kriserede konti.
Den største af partiet er Myspace hack i 2013. At hack påvirket mere end 350 millioner konti.
I samme katalog er Dropboxs 68 millioner poster den niende største i historien om kendte data dumper, hidtil; LinkedIn er den femte største, men hvis nummeret blev korrigeret til 167 millioner i stedet, ville det gøre det til den næststørste datafald i mappen.
(Bemærk at datadumperne for Dropbox og LinkedIn er angivet som 2012, i stedet for 2016.)
Det er dog ikke noget værd, at den berygtede Ashley Madison hack samt den spilskiftende RockYou hack var ikke inkluderet i mappen. Så hvad sker der virkelig derude er større end hvad du ser på webstedet.
hasibeenpwned.com er også en anden kilde, du kan se til sværhedsgraden af hacks og data dumper, der plager online tjenester og værktøjer.
Webstedet drives af Troy Hunt, en sikkerhedsekspert, der regelmæssigt skriver om databrænkelser og sikkerhedsproblemer, herunder om denne seneste Dropbox hack. Bemærk: Siden leveres også med et gratis varslingsværktøj, der advarer dig om nogen af dine e-mails er blevet kompromitteret.
Du vil være i stand til at finde en liste over bønnede websteder, hvis data er blevet konsolideret til webstedet. Her er dens liste over de 10 øverste overtrædelser (se bare på alle disse tal). Find den fulde liste her.
Stadig hos mig? Det bliver meget værre.
4. Ved ethvert brud på data bliver hackere bedre til at sprænge adgangskoder
Dette indlæg på Ars Technica af Jeremi Gosney, en professionel adgangskode krakker er værd at læse. Den korte er det Jo flere databrud opstår, jo lettere bliver det for hackere at knække fremtid adgangskoder.
The RockYou hack skete tilbage i 2009: 32 millioner adgangskoder i plaintext blev lækket og adgangskode krakkere fik et indblik i, hvordan brugerne opretter og bruger adgangskoder.
Det var den hack, der viste bevis for hvor lidt troede vi på at vælge vores adgangskoder f.eks. 123456, Jeg elsker dig, Adgangskode. Men vigtigere:
The RockYou overtræder revolutioneret adgangskode revner.
Få 32 millioner uskadede, usaltede, ubeskyttede adgangskoder upped spillet for professionelle adgangskode krakkere fordi selvom de ikke var dem, der udførte databrud, er de nu mere forberedte end nogensinde til at knække adgangskode hashes, når en datadump er opstået. De adgangskoder, der blev opnået fra RockYou-hacket, opdaterede deres ordbogsangrebsliste med de faktiske adgangskoder, folk bruger i det virkelige liv, hvilket bidrager til betydelige, hurtigere og mere effektive revner.
Efterfølgende data brud ville komme: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - og med nogle hardware opgradering, det var muligt for forfatteren (efter at have lavet sammen med et par branchespecifikke hold) at slå op til 173,7 millioner LinkedIn-adgangskoder i en blot 6 dage (Det er 98% af det fulde datasæt). Så meget for sikkerhed, huh?
5. Hashing adgangskoder - hjælper de?
Der er en tendens til et websted, der har oplevet et data brud for at frembringe ordene hashed adgangskoder, saltede adgangskoder, hash algoritmer og andre lignende udtryk, som om at fortælle dig, at dine adgangskoder er krypteret, og ergo din konto er sikker (pyh). Godt…
Hvis du vil forstå hvad hashing og saltning er, hvordan de arbejder, og hvordan de bliver krakket, det er en god artikel at læse op.
Med risiko for at forenkle begreberne går det her:
- Hash-algoritmer Ændrer et kodeord for at beskytte det. En algoritme skjuler adgangskoden, så den ikke let kan genkendes af en tredjepart. Men hash kan knækkes med ordboksangreb (som er hvor punkt 6 kommer ind) og brute force attacks.
- saltning tilføjer en tilfældig streng til en adgangskode, før den er hashed. På denne måde, selvom det samme kodeord er hashed to gange, vil resultatet være anderledes på grund af saltet.
Kommer tilbage til Dropbox hack, Halvdelen af adgangskoderne er under SHA-1 hash (salte ikke inkluderet, hvilket gør dem umulige at knække), mens den anden halvdel er under bcrypt hash.
Denne blanding angiver en overgang fra SHA-1 til bcrypt, som var et skridt foran sin tid, da SHA1 er midt i at blive udfaset i 2017, at blive erstattet af SHA2 eller SHA3.
Når det er sagt, er det vigtigt at forstå, at "hashing er en forsikring", der blot bremser hackere og krakkere. Selv hvis disse tilføjede beskyttelse gør adgangskoder "svært at afkode", det betyder ikke, at de er umulige at knække.
I bedste fald har hashing og saltning bare køb brugere tid, nok til at ændre deres adgangskoder for at forhindre overtagelse af deres konto.
6. Efterspørgslen efter hacks (data brud)
(1) Hacks kunne være forholdsvis godartede som Dropbox hack eller har ødelæggende resultater som Ashley Madison data brud.
I sidstnævnte blev 25 GB data, herunder egentlige hjemmeadresser, kreditkorttransaktioner og brugerhistorik fra deres brugere lækket. På grund af webstedets karakter var der mange tilfælde af offentlig shaming, udpressning, afpresning, skilsmisse og endog selvmord.
Hacket udsatte også oprettelsen af falske konti og brugen af chatbots for at lokke betalende kunder for at tilmelde sig en konto.
(2) Hacks også vis vores ligegyldighed ved valg af adgangskoder - det vil sige indtil et brud har fundet sted.
Vi har etableret dette, når vi diskuterer RockYou-overtrædelsen i # 4. Hvis du har mange vigtige data, der flyder rundt på nettet, er det en god ide at Brug en adgangskodeadministrationsprogram. Og aktiver autentificering i to trin. Og Genbrug aldrig adgangskoder, der har været i et data brud. Og sørg for andre mennesker, du arbejder med vedtage de samme sikkerhedsforanstaltninger.
Hvis du vil tage det et skridt videre, skal du tilmelde dig et varslingsværktøj, der advarer dig, når din e-mail er involveret i en data brud.
(3) Hacks viser et websted ligegyldighed for at beskytte brugeradgangskoder og data.
I tilfælde af Dropbox vs LinkedIn kan du se Dropbox tog bedre og mere beregnede foranstaltninger for at minimere skade fra et data brud som dette.
Dropbox brugte bedre hashing og saltning metoder, sendte e-mails til brugere, der opfordrede dem til at ændre deres adgangskoder så hurtigt som muligt, tilbyde to-faktor autentificering og Universal 2nd Factor (U2F), der bruger en sikkerhedsnøgle og lavede personalepolitiske ændringer (Dropbox-medarbejdere nu brug 1Password til at administrere deres adgangskoder, adgangskoder til virksomhedskonto kan ikke længere genbruges, og alle interne systemer er på 2FA).
For en sammenfatning af, hvad LinkedIn gjorde, er denne artikel måske en mere grundig og egnet læsning.
Afslutter
For at være ærlig har det kun været en øjenåbende og skræmmende oplevelse at lære om alt dette lige fra at studere Dropbox hack. Vi, den generelle befolkning, stærkt undervurderer behovet for unikke og stærke adgangskoder selv efter at have fået besked flere gange for aldrig at dele eller gentage adgangskoder eller bruge ordbogsord i dem.
Hvis dine data er påvirket af Dropbox hack, skal du træffe de nødvendige forholdsregler for at sikre dine personlige oplysninger. Sæt lidt indsats i dine adgangskoder eller få en adgangskode manager. Åh, og bånd over dit laptop kamera eller webcam, når det ikke er i brug. Du kan aldrig være for forsigtig.
(Cover foto via GigaOm)