Igåraftes en anonym hacker hævdede at være i besiddelse på 7 millioner adgangskoder til Dropbox-konti. Mens denne påstand sandsynligvis var falsk, viser den den stadig mere almindelige måde, som hackere bruger for at få adgang til dine adgangskoder.
Hackeren postede omkring 400 brugernavne og adgangskoder på det anonyme noteside Pastebin i en række 'teasere' til hovedlisten. Nogle Reddit-brugere var i stand til med succes at logge ind på Dropbox ved hjælp af de oplysninger, der blev sendt, før virksomheden deaktiverede alle de lækkede adgangskoder.
Men Dropbox var hurtig til at rejse tvivl om påstandene , benægter, at det var blevet hacket, og hævdede, at mange af brugernavne og adgangskoder ikke engang var relateret til Dropbox-konti.
Så hvor kommer adgangskoderne fra? De arbejdede trods alt en tid.
Den mest sandsynlige kilde til informationen er et tredjepartswebsted, der havde dårlig sikkerhed. Hackere ved, at de fleste internetbrugere genbruger deres adgangskoder, så de målretter ofte mod mindre apps lavet af amatørudviklere. Disse nemme mål har dårlig sikkerhed - så brugernavne, adgangskoder eller filer kan gemmes på en måde, der er let for hackere at stjæle dem.
Den nylige Snapchat-hack , der så næsten 100.000 private fotos og videoer, der blev offentliggjort online, skete, fordi en amatørudvikler ikke havde oprettet sit websted sikkert. I et indlæg på Snapsaved Facebook-siden , forklarer websteds anonyme grundlægger, at en forkert konfigureret Apache-server efterlod filerne sårbare over for hackere.
Hackere behøver ikke længere forsøge at målrette mod tech-giganterne. Hvorfor gider at prøve at hacke ind på Google, Apple eller Facebooks servere, når du simpelthen kan drage fordel af et dårligt bygget websted for at få de samme oplysninger?
Vi ser nu hackere bruge en ny tilgang. I stedet for at bruge måneder på at finde sårbarheder på store websteder, genbruger de loginoplysninger stjålet fra amatør-tredjepartsapps. Chancerne er, at oplysningerne fungerer på flere steder, så ved at kompilere disse cacher af data sammen kan du hurtigt oprette en liste over millioner af adgangskoder.
I september, Russiske hackere offentliggjorde en liste på 5 millioner adgangskoder til en række forskellige e-mail-udbydere, inklusive Gmail. Det var ikke en ny lækage, men en samling af ældre adgangskodelækager samlet sammen for at virke nye. Sikker på, mange af e-mail-kontiene var lukket, men oplysningerne kunne stadig downloades og bruges af hackere til at bryde ind på andre konti.
Så hvorfor genbruger hackere gamle oplysninger? Der er sjældent tegn på, at de rent faktisk bruger adgangskoderne til at logge ind på websteder. I stedet ser det ud til at de bare sender oplysningerne online. Eller i det mindste sender de nogle af oplysningerne online. Som vi nævnte før, lækker hackere delvis indsamling af adgangskoder som 'teasere'. Dette ledsages ofte af en anmodning om Bitcoin-donationer.
Vi kan bruge den offentlige karakter af Bitcoin-adresser til at se, hvor meget hackere får for at sende adgangskoder online. Det er ofte mindre, end de forventer at modtage. Hackeren, der delte samlingen af Dropbox-adgangskoder modtog kun 8 cent . Tilsvarende OriginalGuy, den anonyme forumplakat bag den første bølge af hackede iCloud-berømthedsfotos, udtrykte forfærdelse over det lille dryp af donationer der kom hans vej og bemærkede:
Sikker på, jeg fik $ 120 med min Bitcoin-adresse, men når du overvejer, hvor meget tid der blev brugt på at erhverve disse ting (jeg er ikke hacker, bare en samler) og pengene (jeg betalte også meget via Bitcoin for at blive sikker sæt, når disse ting handles privat fredag / lørdag) Jeg kom virkelig ikke tæt på det, jeg håbede på.
Vi ser flere og flere adgangskoder lækker online. Amatørudviklere øger ikke adgangskodesikkerheden, og eksisterende lækager fortsætter med at dukke op igen. Mens den offentliggjorte information ofte er adskillige år forældet (mange af de e-mails, der blev sendt sammen med Dropbox-adgangskoderne, blev deaktiveret i 2012), er det stadig værdifuldt for hackere, der sammensætter store lister over e-mail-adresser og adgangskoder, der skal bruges i angreb på andre websteder .
Og bare hvis det ikke er klart, er det også din skyld: Hvis du bruger de samme adgangskoder igen og igen med forskellige apps, behøver hackere ikke at komme ind på Apple eller Facebooks servere for at finde dem. De identificerer simpelthen de mindre apps med den svageste adgangskodesikkerhed.
--Det her historie dukkede først op Business Insider.
