Крупнейшая в истории коллекция украденных паролей – 8,4 миллиарда паролей – была опубликована на одном из самых популярных хакерских форумов в мире.
Анонимный хакер назвал компиляцию паролей «RockYou2021» в честь печально известной утечки данных RockYou в 2009 году, когда злоумышленники получили доступ к серверам веб-сайтов социальных приложений и собрали более 32 миллионов паролей пользователей, хранящихся в виде простого текста.
По оценкам, в мире насчитывается 4,7 миллиарда человек в сети, и последняя утечка данных потенциально относится к количеству паролей, вдвое превышающему это глобальное количество пользователей.
Ресурс CyberNews опубликовал часть паролей длиной от 6 до 20 символов, находившихся в распоряжении хакерского форума. Неизвестный взломщик паролей опубликовал огромный TXT-файл объемом 100 ГБ, содержащий 8,4 миллиарда паролей, в сочетании с предыдущими утечками и взломами данных.
Возможный взлом паролей
Хотя автор угрозы изначально утверждал, что в списке содержится более 82 миллиардов паролей, CyberNews оценивает их количество ближе к 8,4 миллиардам. Тем не менее, это все еще крупнейшая в истории утечка, и эксперты в сфере безопасности видят огромные потенциальные последствия для бизнеса и потребителей.
«Мы видели, что количество украденных учетных данных достигло рекордно высокого уровня в прошлом году – 15 миллиардов, и с учетом взломов в этом году, включая утечку данных COMB в размере 3,2 миллиарда учетных данных, а теперь и утечку данных RockYou2021 в размере 8,4 миллиарда паролей, я считаю, что это значение приближено к 25 миллиардам утечек учетных данных, которые в настоящее время распространяются в даркнете», – говорит Уилл ЛаСала, директор по решениям в сфере обеспечения безопасности данных в OneSpan.
По словам ЛаСала, угроза, исходящая от утечки учетных данных, в основном касается веб-приложений и мобильных приложений, а также платформ, на которых они работают, в которых есть дыры в безопасности и бэкдоры, которые хакеры используют для несанкционированного доступа к украденным учетным данным.
«Мы знаем, что хакеры идут по следу денег, и особенно рекомендуем потребителям и организациям внимательно следить за своими финансовыми и банковскими приложениями. Такие технологии, как многофакторная аутентификация, могут помочь защитить учетные записи от кражи учетных данных, а такие технологии, как экранирование приложений, могут помочь защитить приложения от атак злоумышленников, даже если само устройство взломано», – добавляет он.
Как минимизировать угрозы для паролей
Эксперты по безопасности говорят, что гигиена паролей, тщательный мониторинг и многофакторная аутентификация – отличное начало для повышения безопасности паролей.
«Сегодня день, когда нужно сменить все свои пароли. Возможно, вы откладывали это, думая, что вас это не заденет. Заденет. Всех нас. Теперь у вас есть отличный повод защитить свою конфиденциальность и свои активы. Абсолютно все всплывет на поверхность, так что не теряйте времени. Немедленно измените все свои пароли. И убедитесь, что они уникальны и сложны!», – советует Сарью Найяр, генеральный директор Gurucul.
Опытные хакеры могут использовать списочную базу данных для создания миллионов вредоносных электронных писем, нежелательных текстов и фишинговых сообщений, предназначенных для сбора личных данных, кражи финансовой информации и несанкционированного использования идентификационной информации пользователей.
«Это может быть крупнейшей в истории утечкой имен пользователей/паролей, но не последней. Объявление паролей недействующими – не краткосрочное решение этой проблемы. Вместо этого позаботьтесь, чтобы для доступа к системам серверного уровня было недостаточно всего лишь имен пользователей/паролей», – предупреждает Дэвид Стюарт, генеральный директор Approov.
«Добавление требования в отношении соответствующих и независимо верифицируемых факторов для получения доступа к вашим серверам гарантирует, что ваш бизнес не пострадает от атак с использованием учетных данных, основанных на таких утечках, как RockYou2021», – добавляет Стюарт.
Как проверить, не взломан ли ваш пароль
CyberNews имеет базу данных, содержащую более 500 ГБ полученных в результате утечки хеш-адресов электронной почты, в том числе более 15,2 миллиарда взломанных аккаунтов и более 2,56 миллиарда уникальных адресов электронной почты. Список растет по мере того, как CyberNews отслеживает и обновляет последние утечки данных во всем мире.
Их средство проверки утечки данных является одним из нескольких онлайн-инструментов, которые быстро проверяют, включен ли ваш пароль электронной почты в эту последнюю утечку данных или в какие-либо другие, содержащиеся в их обширной базе данных. Сайт не собирает и не хранит адреса электронной почты для обеспечения безопасности информации.
ЛаСала предупреждает, что инструменты проверки паролей хороши ровно настолько, насколько хороши данные, доступные в режиме реального времени. «Потребители не должны полагаться на инструменты проверки паролей, поскольку данные вряд ли актуальны и не заслуживают доверия. Им также следует избегать генераторов «надежных паролей»; генерируемые пароли часто ненадежны, их легко взломать, и они могут быть украдены в любой момент без каких-либо признаков взлома».
Раджив Пимпласкар, главный директор по управлению рисками Veridium, указывает на недостатки и парадокс предоставления адреса вашей электронной почты третьему лицу для проверки его безопасности. Хотя эти инструменты полезны, они могут создать ложное чувство безопасности, если адрес вашей электронной почты не отображается в списке. «Во-первых, даже несмотря на то, что они [CyberNews] утверждают, что у них есть данные о более чем 15 миллиардах скомпрометированных аккаунтов, это все еще лишь малая доля общего объема скомпрометированных учетных данных».
«Во-вторых, предоставлять конфиденциальную или защищенную информацию третьей стороне, когда вы пытаетесь сохранить или проверить, является ли она защищенной, в первую очередь, рискованно!» Пимпласкар говорит, что CyberNews снижает этот риск, используя алгоритм хеширования bcrypt (на основе Blowfish) для безопасной анонимизации исходных адресов электронной почты в базе данных.
Инструменты полезны для осведомленности, но не являются гарантией
Пимпласкар добавляет: «С появлением на рынке аналитики угроз нескольких даркнетовых поисковых систем за последние четыре с лишним года, это пространство стало довольно общедоступным, делая вашу информацию доступной через вашего интернет-провайдера, кредитные карты по договорам защиты от мошенничества – все с разной степенью обоснованности и ценности».
«Еще одна полезная программа проверки утечки данных, которую компании и частные лица могут использовать, чтобы узнать, не разглашается ли информация про их пароли – это популярный бесплатный инструмент Have I Been Pwned», – добавляет Найяр с аналогичными оговорками к заявлениям других экспертов по безопасности. Он проверяет адрес электронной почты и номера телефонов по списку из более чем 600 миллионов взломанных паролей. Несмотря на то, что эти инструменты полезны, они лишь едва затрагивают угрозу безопасности.
Средства проверки паролей могут только сообщить пользователям, была ли их учетная запись найдена в списке взломанных учетных записей на момент загрузки этого списка в средства проверки паролей. Эти средства проверки паролей часто вручную пополняются списками взломанных учетных записей.
ЛаСала повторяет и другие опасения по поводу онлайн-инструментов для проверки паролей. «Пароль пользователя может быть взломан задолго до того, как он окажется в одном из этих списков. «Надежные пароли» проблематичны, поскольку нет никаких признаков того, что пароль взломан, и любой «надежный пароль», который можно ввести, может быть перехвачен и сохранен для использования хакером. С помощью генераторов надежных паролей и средств проверки паролей у хакеров есть возможность усугубить проблему, создавая мошеннические страницы, которые запрашивают данные учетной записи, чтобы затем сгенерировать новые пароли, копию которых получает хакер».
«В сегодняшнем чрезвычайно рискованном кибер-климате потребители должны рассматривать все учетные данные на основе паролей как учетные данные с вероятностью взлома или уже взломанные. Пользователи должны полагаться на многофакторную аутентификацию (MFA) и использовать современные методы аутентификации без пароля, такие как телефон в качестве токена или ключи безопасности FIDO2. Они уменьшают виды атак со взломом данных, исключая пароли и гарантируя, что ваша информация останется конфиденциальной и защищенной», – советует Пимпласкар.
Организации также должны делать больше для защиты своих клиентов, обеспечивая актуальность своих технологий анализа рисков и проверяя транзакции в режиме реального времени по всем приложениям и каналам, выявляя аномалии и шаблоны, являющиеся отличительной чертой атаки.
Хакеры часто «прочесывают» форумы даркнета в поисках утекших учетных данных, которые они используют для запуска программ-вымогателей, и очень важно, чтобы потребители и организации внедрили эти важные меры безопасности для защиты ценных учетных записей», – предупреждает ЛаСала.
OneSpan – один из мировых лидеров в области аутентификации, цифровой идентификации и борьбе с мошенничеством в сети интернет.
Источник:https://cutt.ly/SmdhZzO
