פרסומת
מה אתה מקבל כשאתה חוצה תריסר האקרים פליליים רוסים עם 420,000 אתרים עם פגיעות בהזרקת SQL? אתה מקבל 4.5 מיליארד רשומות משתמשים שנפרצו בידי אותם האקרים.
ביום שלישי, ה- הניו יורק טיימס דיווח כי החזקת אבטחה ממילווקי, ויסקונסין גילתה מאגר נתונים מלא תעודות גנובות. אלכס הולדן, קצין אבטחת המידע הראשי של חברת הולנד ביטחון, מצא את מקור הגניבה תעודות לטבעת פריצה קטנה של פחות מתריסר גברים בני 20 ומשהו, שממוקמים מדרום מרכז רוסיה. הוא כינה את הקבוצה "CyberVor".
הולדן הסביר כי "חבורת ההאקינג" מורכבת מצוות של גברים צעירים, שלכל אחד מהם תפקיד משלו - חלק מתוכניות כתיבה, ואחרות שפועלות להוציא את האישורים מהנתונים. התלבושת כולה פועלת כמו עסק ממשי.
כנופיית ההאקינג הרוסית
לדברי הולדן, CyberVor התחיל בשנת 2011 כצוות שולחי דואר זבל. התוכנית העסקית הייתה אז לרכוש פרטי קשר גנובים מהשוק השחור על מנת לשלוח דוא"ל דואר זבל המוני ללקוחות. במהלך השנים הבאות צוות יזמים פליליים בנה רשת בוט-רשת ענקית של מחשבים הנגועים בנגיף המאפשרת להשתמש בהם לצורך שליחת פיצוצי הספאם.
עם הזמן הצוות השתמש בבוט-נט שלו כדי לבדוק באילו אתרים פגיעים להתקף פריצה של הזרקת SQL. לאחר שחובר רשימה של אתרי אינטרנט, הצוות התחיל לעבוד עם הפעלת האק באתר ולחילוץ מלא של מסד הנתונים המאוחסן בו.
עם הגישה למסד הנתונים הצליחה הקבוצה להרכיב את 4.5 מיליארד הרשומות, שהתברר כך מכילים סך הכל 1.2 מיליארד אישורי שם משתמש וסיסמא ייחודיים, ו- 542 מיליון דוא"ל ייחודי כתובות.
מה זה אומר
אם אתה חושב שאתה יכול לצאת ללא פגע מאיום הביטחון הספציפי הזה, חשוב שוב. בהתחשב בעובדה שיש כיום רק פחות מ -3 מיליארד משתמשי אינטרנט בעולם, הפרה של 1.2 מיליארד שם משתמש וסיסמא ייחודיים אישורים מייצגים הצלחה שובר שיא מצד ההאקרים הפליליים, ומשמעות הדבר היא כי גם האישורים שלך עשויים להיות סיכון.
אורלה קוקס, מנהלת תגובת האבטחה של סימנטק אמרה לחדשות ה- NPR כי הגישה הבטוחה ביותר היא להניח כי אישוריכם נפגעים.
"אני חושב שכל משתמשי האינטרנט צריכים להניח שהם הושפעו מכך. ברור שאלו אינם אופורטוניסטים, הם לא חובבי חובבים. אלה פושעי סייבר במשרה מלאה שהם ככל הנראה מבצעים את זה כבר מספר חודשים, אולי אפילו שנים. "
איך אתה יודע אם אחת מהתעודות שלך הושפעה? למרבה הצער, לא - רק לאחר ש- Hold Security יפרסם את הכלי המקוון שלו שיאפשר לך לבדוק אם המידע שלך נמצא במאגר.
בינתיים, Hold Security מנצלת את ההפרה על ידי בניית א חבילה של שירותים שנועד לעזור לבעלי אתרים ומשתמשי אינטרנט לנהל את האיום של כנופיית האקרים זו. שירותים אלה כוללים את הדברים הבאים:
- שירות התראה על הפרות (BNS) - מתריע אם האתר שלך הושפע מהפרה זו או כל הפרה ביטחונית אחרת. עלות: 120 $ לשנה
- שירותי בדיקות עט וביקורת עטים - יבקר את האתר שלך וימצא פגיעויות כלשהן. אין מחיר רשום.
- שירות יושרה של תעודות - מודיע לך אם נפגעו אישורי המשתמשים באתר שלך. אין מחיר רשום.
- שירות פיקוח על זהות אלקטרונית - מיועד לאנשים שרוצים לדעת אם זהותם האלקטרונית פגיעה או נפגעת. הרשמה מראש זמינה מכיוון שהשירות בפיתוח.
מה אתה צריך לעשות
כמובן שהגישה הזולה ביותר לכתוב צ'ק ל- Hold Security כדי לומר לך אם הושפעת עליך היא פשוט לשנות את כל הסיסמאות שלך. למרות שזה עשוי להיות מעצבן לעשות זאת, קרוב כל כך לנעלי עקב פיאסקו מרוב לב לפני כמה חודשים פעורי לב - מה אתה יכול לעשות כדי להישאר בטוח? קרא עוד , זה באמת ההימור הבטוח היחיד שיש לך לאבטח את החשבונות שלך. הבעיה כמובן היא שאתה לא יכול לעשות זאת עד שאתה יודע שהאתרים שבהם אתה משתמש אינם פגיעים בהזרקת SQL.
אם אתה רוצה לקבוע אם האתרים שבהם אתה משתמש כדי לגשת לחשבונות שלך בטוחים או לא, תצטרך דרך לדעת אם הם בטוחים מהתקפות הזרקת SQL - הנשק הנבחר עבור האקר הרוסי הספציפי הזה כנופיה.
למרבה המזל, זה די קל לבדוק אם אתר חשוף לפריצה מסוימת זו. כל שעליך לעשות הוא למצוא דף באתר שנטען באופן דינמי ממאגר ה- backend. זה די קל עם אתר מבוסס PHP על ידי חיפוש אחר כתובת האתר המובנית עם השאילתה, כך: " http://www.website.com/page.php? id = 32 ”
מבחן מהיר לפגיעות של הזרקת SQL מוסיף ציטוט בודד בסוף הקו. אם דף האינטרנט עדיין טעון בסדר, האתר מאובטח מפני התקפה זו. אם הוא מחזיר שגיאת "שאילתת SQL נכשלה", האתר פגיע, ועליך להניח שהנתונים שלך המאוחסנים שם נפגעו.
על ידי הוספת א ‘ לכתובת האתר, אתה בודק אם תוכל להוסיף פרמטרים נוספים של SQL כדי להפעיל פקודת SQL פולשנית יותר.
אם אתה מגלה שהאתר בטוח, קדימה שנה את הסיסמאות שלך שם. אם אתה רואה שהוא עדיין פגיע להתקף הזרקת SQL, הימנע משינוי האישורים שלך, ובמקום זאת פנה אל בעל האתר ויידע אותו על הפגיעות.
בזמן שאתה בזה ...
בזמן שאתה מסתובב ומשנה את הסיסמאות שלך בכל האתרים המאובטחים, שקול את ההנחיות הבאות.
- האם הסיסמא שלך באמת ייחודית וחזקה? הקפד לבדוק את המאמרים הרבים שלנו עם טיפים לייצור סיסמאות 13 דרכים לפצות סיסמאות מאובטחות ובלתי נשכחותרוצה לדעת כיצד להמציא סיסמא מאובטחת? רעיונות סיסמא יצירתיים אלה יעזרו לכם ליצור סיסמאות חזקות ובלתי נשכחות. קרא עוד .
- תשתמש ב מנהל סיסמאות השתמש באסטרטגיית ניהול סיסמאות כדי לפשט את חייךכמעט לא ניתן היה לעקוב אחר עצות רבות בנושא סיסמאות: השתמש בסיסמה חזקה המכילה מספרים, אותיות ותווים מיוחדים; לשנות את זה באופן קבוע; לבוא עם סיסמא ייחודית לחלוטין לכל חשבון וכו '... קרא עוד וודא שהסיסמה שלך שונה לכל אתר שאתה משתמש בו. נסה להשתמש ב- מחולל סיסמאות 5 מחוללי הסיסמאות המקוונים הטובים ביותר לסיסמאות אקראיות חזקותמחפש דרך ליצור סיסמה בלתי ניתנת לשבירה במהירות? נסה אחד ממחוללי הסיסמאות המקוונים האלה. קרא עוד עבור כל אתר.
- אני חוזר ואומר: השתמש בסיסמה ייחודית עבור כל אתר!
מעבר לניהול סיסמאות, יש גישה יצירתית נוספת המאפשרת לך "לחזור" בפועל עם ההאקרים. זה כרוך לוודא שכל החשבונות המקוונים שלך מכילים מידע שגוי - כתובות מזויפות, מספרי טלפון וכתובות דוא"ל. בדרך זו, בכל פעם שמתרחשת הפרה מסוג זה, אתה יכול פשוט לצחוק מזה, כי כל הקשר האישי מידע - במיוחד הדוא"ל שבדרך כלל מפוטר למטרות דואר זבל - הוא גאה מוחלטת ל האקר.
ברור שגישה זו לא תעבוד עבור אתר פיננסי שדורש בדרך כלל זיהוי מאושר, אך אפשר לקוות שאתרים פיננסיים מקדימים את עקומת האבטחה כדי להיות יותר מאשר בטוחים מפני משהו כמו הזרקת SQL גרזן.
לאור הגודל וההיקף של התקפה אחרונה זו, האם אתה מודאג לגבי המידע הפרטי שלך? יש לך תוכניות להתמודד עם זה? שתף את מחשבותיך בקטע התגובות למטה!
מקור: ניו יורק טיימס
זיכויים לתמונה: איש בלתי נראה דרך Shutterstock, קנטו / Shutterstock
לראיין תואר ראשון בהנדסת חשמל. הוא עבד 13 שנה בהנדסת אוטומציה, 5 שנים בתחום ה- IT, וכעת הוא מהנדס אפליקציות. כעורך מנהל לשעבר של MakeUseOf, הוא דיבר בכנסים ארציים להמחשת נתונים והופיע בטלוויזיה וברדיו הארציים.
