Sicurezza

Il tuo account Gmail include 42 milioni di credenziali trapelate?

Il tuo account Gmail include 42 milioni di credenziali trapelate? / Sicurezza

Segnala che una grossa perdita di account webmail include un numero enorme di credenziali mai viste prima che sia stata accolta da un misto di panico ... e dubbio. Quanto sono accurate le notizie e le tue credenziali di Gmail, Hotmail / Outlook o Yahoo Mail potrebbero essere nel mix?

272 milioni di indirizzi email unici

No, non c'è niente di sbagliato nella tua vista. Legge davvero “272 milioni”. Questo è il totale di coppie uniche di indirizzi e password e-mail ottenuti da un hacker da Hold Security, una società di sicurezza informatica che in precedenza aveva ottenuto una raccolta di 1,2 miliardi di nomi da cyber gangs nel 2014 La banda hacker russa acquisisce 1,2 miliardi di credenziali: Cosa dovresti fare La gang hacker russa cattura 1,2 miliardi di credenziali: cosa dovresti fare per saperne di più. sembrerebbe, quindi, che l'azienda abbia una buona forma in questo settore e possa essere considerata affidabile.

Ma torneremo su questo.

La cifra di 272 milioni è davvero alta, ed è apparentemente una raccolta di account da Gmail, Hotmail, Yahoo Mail e Mail.ru, un servizio di webmail russo ed est europeo. Hold Security afferma che dei 272 milioni di account, 42,5 milioni sono nuovi, non sono mai stati inclusi in precedenti violazioni dei dati.

Se è vero, questo mette la perdita lassù con alcuni dei più grandi di tutti i tempi, come l'enorme perdita di 150 milioni di account utente Adobe e la folle Ashley Madison che perde Ashley Madison Leak No Big Deal? Pensa ancora Ashley Madison Leak No Big Deal? Pensa di nuovo Discreet sito di appuntamenti online Ashley Madison (destinato principalmente ai coniugi truffatori) è stato violato. Tuttavia questo è un problema molto più serio di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza degli utenti. Leggi di più .

Come in tutte le grandi fughe di notizie, puoi scoprire se le tue credenziali sono nelle mani degli hacker visitando il sito www.haveibeenpwned.com. Questo sito, descritto in precedenza su MUO, è un database ricercabile di dati di tutti i più grandi hack. Se trovi le tue credenziali e riconosci la password come attuale, è il momento di cambiarla. Nel frattempo, se l'account non è utilizzato, vale la pena chiuderlo.

Ora, che dire di questi 42 milioni di account?

Chi ha trapelato i dati?

La storia dietro questa fuga sembra avvolta nel mistero. Il post sul blog di Hold Security in materia suggerisce che sono stati contattati in modo anonimo con oltre 900 milioni di credenziali raccolte da più violazioni per un periodo di tempo, un file di 10 gigabyte in totale.

Non conosciamo la persona che ha fatto trapelare i dati, a parte la sua descrizione “questo ragazzo da una piccola città in Russia” e che è stato pagato nei social media come. No davvero.

In che modo le violazioni dei dati possono essere utilizzate dagli hacker

Quindi cosa vuol dire, davvero? Come si può far uso di 10 gigabyte di credenziali email trapelate? Bene, pensaci: quanti siti web accedi con il tuo account di posta elettronica?

Parlando alla BBC, Alex Holden, responsabile della sicurezza delle informazioni di Hold Security, con sede a Milwaukee, ha spiegato come “ci sono siti di hacker che pubblicizzano "servizi di forzatura bruta" i servizi più popolari e memorizzano i fronti prendendo una grande quantità di credenziali e eseguendole una a una contro il sito.”

Uno per uno, password su password viene tentata su servizi come Amazon, eBay, forse Xbox Live e PlayStation Network, usando la tecnica della forza bruta What Are Brute Force Attacks e How Can You Protect Yourself? Quali sono gli attacchi di forza bruta e come puoi proteggerti? Probabilmente hai sentito la frase "attacco di forza bruta". Ma cosa significa quello esattamente? Come funziona? E come puoi proteggerti contro di esso? Ecco cosa devi sapere. Leggi di più, dimostrato qui:

Peggio ancora, le credenziali sono state probabilmente condivise in tutto il mondo, Holden ammette:

“Ciò che rende questa scoperta più significativa è la volontà degli hacker di condividere queste credenziali praticamente gratuitamente, aumentando il numero di ... persone malevoli che potrebbero avere queste informazioni.”

Ma le violazioni della sicurezza possono essere utilizzate anche dalle società di sicurezza. Già nel 2014, Hold Security ha tentato di incassare la violazione che ha riferito quel momento, offrendo un servizio di abbonamento ai proprietari di siti web (ma non a singoli). Alcuni ricercatori sostengono che il loro precedente momento sotto i riflettori era un caso di stile sulla sostanza, ma Holden ha negato che fosse così, affermando di essere “in realtà perdere soldi. Non stiamo cercando di farlo per pubblicità dal punto di vista del profitto, non stiamo spingendo i nostri servizi. In realtà, stiamo cercando di non andare in rovina.”

Se credi che Holden non sia il punto, comunque. Il punto è che la perdita include dati che potrebbero essere tuoi. Cosa puoi fare al riguardo?

Dovrei cambiare la mia password, giusto?

Se sei il proprietario di un account Hotmail, Outlook, Gmail, Yahoo Mail o Mail.ru, probabilmente stai pensando che proprio ora è il momento migliore per cambiare la password del tuo account. Bene, per un momento, tieni i tuoi cavalli. Il famoso ricercatore della sicurezza, il professor Alan Woodward, ha dichiarato alla BBC che “non c'era "alcun bisogno di farsi prendere dal panico" o per le persone cambiare le loro password a questo punto.”

Ora, non stiamo dicendo che non dovresti cambiare la tua password; sei libero di farlo in qualsiasi momento, in quanto è il tuo account. Tuttavia, se la violazione è seria come viene richiesta, il tuo provider webmail richiederà di cambiare la password la prossima volta che tenti di accedere.

Il Prof. Woodward è piuttosto astuto qui, consigliando agli utenti di aspettare le istruzioni dal loro fornitore di servizi webmail. Perché? Beh, per cominciare, sono Gmail, Hotmail / Outlook, Yahoo Mail e Mail.ru che hanno le risorse per indagare sulla legittimità della violazione, ed è proprio queste aziende che hanno il potere di avviare resettazioni di password di massa.

Inoltre, i fornitori di servizi webmail dispongono di strumenti per rilevare accessi sospetti. Tutto sommato, hanno la situazione sotto controllo.

La minaccia di phishing e spam

Un grosso problema con violazioni della sicurezza di alto profilo è che portano con sé ulteriori minacce. Come i pesci pilota, i criminali non sono mai lontani dalla grande vincita, pronti a raccogliere gli scarti che vengono messi da parte. C'è una grande minaccia dal phishing in seguito a questa particolare notizia.

Prima di tutto, se utilizzi Gmail, Hotmail o Outlook, Yahoo Mail o Mail.ru, potresti notare un aumento dei messaggi di posta indesiderata. Alcuni possono provenire da nuove fonti, ed essere difficili da gestire con il tuo provider webmail nel solito modo (ovvero, tenerlo nella cartella spam / junk, fuori dalla tua vista). Di conseguenza, è necessaria una vigilanza supplementare.

Forse la cosa più importante è che devi essere consapevole della probabilità delle e-mail di phishing Come individuare un e-mail di phishing Come individuare un e-mail di phishing Catturare un e-mail di phishing è difficile! I truffatori si pongono come PayPal o Amazon, cercando di rubare la password e le informazioni della carta di credito, il loro inganno è quasi perfetto. Ti mostriamo come individuare la frode. Leggi di più sostenendo di essere dal provider webmail, chiedendoti di fare clic su un link per reimpostare la tua password. Il link, ovviamente, sarà a un sito web contraffatto Come gli Scammer scelgono come target il tuo conto PayPal e come mai non riescono a farcela Come gli scammer scelgono come target il tuo conto PayPal e come mai fallire PayPal è uno degli account più importanti che hai online. Non fraintendermi, non sono un grande fan di PayPal, ma quando si tratta di soldi, non si vuole giocare. Mentre ... Leggi altro, pronto a raccogliere le tue credenziali attuali.

È improbabile che nessuno dei fornitori di servizi webmail ti invii un'email di questo tipo.

Rimani sicuro ed evita le e-mail di phishing

Sembra che viviamo in un'epoca d'oro di violazioni della sicurezza (almeno per gli hacker), e non mostra segni di cedimento. Finché ci saranno sistemi online e un profitto da fare, ci saranno persone con le capacità e la motivazione per violare tali sistemi.

La lotta a questo richiede una maggiore vigilanza da parte delle aziende e dei servizi con cui condividiamo i nostri indirizzi e-mail e i dettagli personali; ha anche bisogno di essere attenti alle minacce e di come potrebbero essere eseguite. Spam email, phishing, spoof web: sono tutti probabili vettori di attacchi diretti alla tua casella di posta.

Come ti senti riguardo a questa ultima violazione della sicurezza? Ti stai stancando di sentire parlare di perdite online che potrebbero essere evitate con una maggiore sicurezza sul posto? Dicci cosa ne pensi - inizia la conversazione nella casella dei commenti.

Crediti immagine: rubare un portafoglio di Volkova Vera tramite Shutterstock, Brian Senic tramite Shutterstock.com, JMiks tramite Shutterstock.com

Scopri di più su: hacking, sicurezza online, password, violazione della sicurezza.