Innehåll
- Har jag blivit pwned skaparen Troy Hunt tillkännagav dataöverträdelsen för samling 1.
- Samlingen av filer innehåller miljoner komprometterade e-postadresser och lösenord.
- De komprometterade uppgifterna kommer förmodligen från 2 000 databaser.
Dataöverträdelser har blivit så vanliga nuförtiden att vi nästan har blivit domade för dem. Emellertid rapporterade säkerhetsforskaren och Have I Been Pwned-skaparen Troy Hunt just ett dataöverträdelse som kommer att skada under lång tid: Samling # 1.
Samling nr 1 är en massiv fil som nyligen laddades upp till molnlagringstjänsten Mega. Filen har 12 000 separata filer som innehåller 87 GB data.
Vad finns det i uppgifterna, kanske du frågar? 772 904 991 unika e-postadresser och 21 222 975 unika lösenord. En betydelsefull fråga är de stulna lösenorden som har sprucken skyddande hashing. Det är därför lösenorden visas som vanlig text istället för att kryptografiskt hashas när webbplatserna bryts.
E-postar nu 768 253 personer som prenumererar på aviseringar och ytterligare 39 923 som övervakar domäner ...
- Troy Hunt (@troyhunt) 16 januari 2019
Dessa spruckna lösenord möjliggör en andra fråga, en praxis som kallas referensstoppning. Intygsstoppning är när användarnamn eller e-post / lösenordskombinationer bryts sedan används för att komma in på någon annans konto. Attacker behöver inte brute kraft eller gissa lösenord - de kan bara automatisera inloggningarna.
Credential stuffing gäller särskilt för dem som använder samma användarnamn och lösenordskombination på olika webbplatser.
Det händer bara så att samling nr 1 innehåller nästan 2,7 miljarder kombinationer. Det händer också så att ungefär 140 miljoner e-postadresser och 10 miljoner lösenord från samling nr 1 är nya i databasen Have I Been Pwned.
Låt oss inte heller glömma den decentraliserade naturen i samling nr 1. Tidigare överträdelser hade vanligtvis ett vanligt silverfoder: varje överträdelse kunde knytas till en webbplats. Inte så med detta överträdelse, som består av överträdelser över 2000 databaser.
I detta fall är det enda möjliga silverfodret att Hunt inte vet om varje brott i samling nr 1 är legitimt. Dog sade Hunt också att detta är "det enskilt största överträdet som någonsin har laddats in i HIBP."
Vad ska jag göra?
Gå först till Have I Been Pwned och skriv in din e-postadress. På webbplatsen kan du veta om ett konto som använder den e-postadressen har äventyrats.
Om du redan använt Have I Been Pwned, borde du ha fått ett meddelande om överträdelsen. Nästan hälften av webbplatsens användare har fångats upp i överträdelsen, så tänk på detta om du är medlem.
Därifrån klickar du pålösenord på toppen av Have I Been Pwned. Pwned-lösenord låter dig veta om ditt lösenord komprometterades och hjälper dig att använda starka lösenord.
Om du har en kompromitterad e-postadress och komprometterade lösenord är det dags att rensa upp dina lösenordsrutiner. Om en webbplats stöder den använder du tvåfaktorsautentisering. Det kanske inte är idiotsäker, men tvåfaktorsautentisering hjälper till att avskräcka de flesta som kanske vill ha åtkomst till ditt konto.
Du kan också undvika att använda samma lösenord på flera webbplatser. Det är frestande att använda samma lösenord för bekvämlighets skull, men praxis är ett farligt dubbelkantigt svärd.
Använd slutligen en lösenordshanterare. 1Password, Dashlane och LastPass är tre av de mer populära alternativen där ute, men du kan också använda den beprövade metoden penna och papper.
Åh, och ändra ditt lösenord. Ändra definitivt ditt lösenord. Gör det till något komplicerat, något som inte finns i en ordlista.
