Video: I Know Your PASSWORD On The Day Of Hack ! Email Scam Alert (Nobyembre 2024)
Ang mga attackers ng cyber kamakailan ay nilabag ang mga sistema ng LivingSocial at ilegal na na-access ang impormasyon ng customer para sa higit sa 50 milyong mga gumagamit, sinabi ni LivingSocial. Kailangang baguhin agad ng mga gumagamit ang kanilang mga password.
Tulad ng iniulat kahapon ng PCMag.com, Nagpadala ang data ng LivingSocial ng paglabag sa mga email ng notification sa lahat ng mga apektadong customer na nagpapaalam sa kanila ng isang cyber-atake na nagresulta sa hindi awtorisadong pag-access ng data ng customer. Mahigit sa 50 milyong account ang maaaring maapektuhan, ayon sa LivingSocial, na ginagawa ang isa sa pinakamalaking paglabag sa password sa taong ito.
Hindi malinaw sa oras na ito kung paano nangyari ang paglabag at kung ano ang iba pang mga piraso ng impormasyon ay ninakaw. Sa mga ganitong uri ng mga insidente, ang mga umaatake ay karaniwang sumisira sa pamamagitan ng lihim na pag-install ng malware sa mga aparato ng empleyado at pagkatapos ay magtrabaho sa paligid ng network hanggang sa makahanap sila ng mga sensitibong sistema, sinabi ni George Tubin, senior Strategist ng seguridad sa Trusteer, sinabi sa SecurityWatch .
Ang mga tagapagbigay ng "dapat asahan ang mga hacker na i-target ang kanilang mga system upang makakuha ng data ng customer o sensitibong impormasyon sa korporasyon, " sabi ni Tubin. Sa puntong ito, "malinaw na ang mga tagapagkaloob na ito ay simpleng hindi gumagawa ng sapat upang maprotektahan ang impormasyon ng kanilang mga customer, " sinabi ni Tubin.
Inasnan, Hinanap na Mga password Hindi Crack-Proof
Ito ay isang mahusay na senyales na ang LivingSocial ay na-hashed at inasnan ang mga password nito na magpapabagal sa mga umaatake, ngunit "hindi ito titigil" sa mga nagsasalakay na subukan, at magtagumpay, sa pag-uunawa ng mga orihinal na password, Ross Barrett, senior manager ng seguridad inhinyero sa Rapid7, sinabi sa SecurityWatch . Habang ang salting ay nagpapabagal sa proseso ng pag-crack, "sa kalaunan ay kukuha ng mga umaatake o ang kanilang network ang impormasyon na kanilang natapos" sinabi ni Barrett ..
Ang Hashing ay isang one-way na pag-encrypt, kung saan palagi kang nakakakuha ng parehong output para sa isang tiyak na input, ngunit hindi posible na magsimula sa isang hash at mag-ehersisyo kung ano ang orihinal na string. Ang mga umaatake ay madalas na umaasa sa mga talahanayan ng bahaghari, isang serye ng mga napakalawak na diksyonaryo na naglalaman ng bawat nalalabi na string (kabilang ang mga salita ng diksyunaryo, mga karaniwang apelyido, kahit na mga kanta ng kanta) at ang mga nauugnay na halaga ng hash. Ang mga umaatake ay maaaring tumugma sa hash mula sa talahanayan ng password na may talahanayan ng bahaghari upang mahanap ang orihinal na string na nakabuo ng code.
Ang pagbabayad ay tumutukoy sa proseso ng pagdaragdag ng karagdagang impormasyon sa orihinal na string ng pag-input bago lumikha ng isang hash. Dahil hindi alam ng taga-atake kung ano ang labis na mga piraso ng data, ang pag-crack ng hashes ay nagiging mas mahirap.
Ang problema, gayunpaman, ay ginamit ng LivingSocial ang SHA1 upang makabuo ng hash, isang mahinang algorithm. Tulad ng MD5, isa pang tanyag na algorithm, ang SHA1 ay dinisenyo upang mapatakbo nang mabilis at may kaunting halaga ng mga mapagkukunan ng computing.
Isinasaalang-alang ang kamakailang mga pagsulong sa mga teknolohiya ng pag-hack at pag-hack, ang hashes ng SHA1, kahit na inasnan, ay hindi basag-patunay. Ang LivingSocial ay mas mahusay na mas mahusay sa bcrypt, scrypt, o PBKDF-2.
Baguhin ang Mga Password Ngayon
Ang LivingSocial ay paunang-reset ang mga password para sa lahat ng mga gumagamit at mga gumagamit ay dapat tiyaking pumili ng mga bagong password na hindi ginagamit kahit saan pa. Maraming mga tao ang may posibilidad na gamitin muli ang parehong password sa buong mga site; kung ginamit ng mga gumagamit ang password na LivingSocial sa iba pang mga site, dapat nilang baguhin din agad ang mga password na iyon. Kapag ang mga password ay basag, maaaring subukan ng mga umaatake ang mga password laban sa mga tanyag na serbisyo tulad ng email, Facebook, at LinkedIn.
"Ang mga paglabag na ito ay isa pang paalala kung bakit napakahalaga na mapanatili ang mahusay na kalinisan ng password at gumamit ng iba't ibang mga password para sa lahat ng mga account at site, " sinabi ni Barrett.
Maaari ring gamitin ng mga umaatake ang mga petsa ng kapanganakan at mga pangalan upang gawing phishing at iba pang mga kampanyang pang-sosyal na engineering. Maaari nilang maiugnay ang mga detalyeng ito upang linlangin ang mga gumagamit sa pag-iisip na ito ay mga lehitimong mensahe. Ang ninakaw na data ay magiging "makapangyarihang pag-atake sa loob ng mahabang panahon, " sinabi ni Barrett.
Ang paglabag sa LivingSocial ay "isa pang paalala na ang mga organisasyon ay patuloy na mai-target para sa kanilang mahalagang data ng customer, " sinabi ni Barrett.
