I går kveld en anonym hacker hevdet å være i besittelse på 7 millioner passord til Dropbox-kontoer. Selv om påstanden sannsynligvis var falsk, demonstrerer den den stadig mer vanlige måten hackere bruker for å få tilgang til passordene dine.
Hackeren la ut rundt 400 brukernavn og passord på det anonyme notatsiden Pastebin i en serie 'teasers' for hovedlisten. Noen Reddit-brukere klarte å logge på Dropbox med informasjonen som ble lagt ut før selskapet deaktiverte alle de lekkede passordene.
Men Dropbox var raskt i tvil om påstandene , benekter at det hadde blitt hacket og hevdet at mange av brukernavnene og passordene ikke engang var relatert til Dropbox-kontoer.
Så hvor kommer passordene fra? De jobbet tross alt en stund.
Den mest sannsynlige kilden til informasjonen er et tredjeparts nettsted som hadde dårlig sikkerhet. Hackere vet at de fleste internettbrukere bruker passordene sine på nytt, så de retter seg ofte mot mindre apper laget av amatørutviklere. Disse enkle målene har dårlig sikkerhet - så brukernavn, passord eller filer kan lagres på en måte som det er enkelt for hackere å stjele dem.
Den siste Snapchat-hackingen , som så nesten 100.000 private bilder og videoer lagt ut på nettet, skjedde fordi en amatørutvikler ikke hadde satt opp nettstedet sitt sikkert. I et innlegg på Snapsaved Facebook-siden , forklarer nettstedets anonyme grunnlegger at en feilkonfigurert Apache-server etterlot filene sårbare for hackere.
Hackere trenger ikke prøve å målrette teknologigigantene lenger. Hvorfor bry seg med å prøve å hacke inn på Google, Apple eller Facebooks servere når du bare kan dra nytte av et dårlig bygget nettsted for å få den samme informasjonen?
Vi ser nå hackere bruke en ny tilnærming. I stedet for å bruke måneder på å finne sårbarheter på store nettsteder, bruker de på nytt påloggingsinformasjon stjålet fra amatørapps fra tredjeparter. Sjansen er stor for at informasjonen fungerer på flere nettsteder, så å samle disse cachene med data sammen kan raskt opprette en liste over millioner av passord.
I september, Russiske hackere publiserte en liste på 5 millioner passord til en rekke forskjellige e-postleverandører, inkludert Gmail. Det var ikke en ny lekkasje, men en samling av eldre passordlekkasjer samlet for å virke nye. Visst, mange av e-postkontoer hadde stengt, men informasjonen kunne fortsatt lastes ned og brukes av hackere til å bryte seg inn i andre kontoer.
Så hvorfor bruker hackere gammel informasjon? Det er sjelden bevis for at de faktisk bruker passordene til å logge på nettsteder. I stedet virker det som om de bare legger ut informasjonen på nettet. Eller i det minste legger de ut noe av informasjonen på nettet. Som vi nevnte tidligere, lekker hackere delvis samling av passord som 'teasere'. Dette er ofte ledsaget av en forespørsel om Bitcoin-donasjoner.
Vi kan bruke den offentlige naturen til Bitcoin-adresser for å se hvor mye hackere får for å legge inn passord på nettet. Det er ofte mindre enn de forventer å motta. Hackeren som delte samlingen av Dropbox-passord fikk bare 8 øre . Tilsvarende, OriginalGuy, den anonyme forumplakaten bak den første bølgen av hackede iCloud-kjendisbilder, uttrykte forferdelse over det lille dryppet av donasjoner som kom hans vei, og bemerket:
Visst, jeg fikk $ 120 med Bitcoin-adressen min, men når du vurderer hvor mye tid det ble brukt på å skaffe meg disse tingene (jeg er ikke hackeren, bare en samler), og pengene (jeg betalte også mye via Bitcoin for å bli sikker sett da disse tingene ble handlet på fredag / lørdag) Jeg kom virkelig ikke i nærheten av det jeg håpet på.
Vi ser flere og flere passord lekke online. Amatørutviklere øker ikke passordsikkerheten, og eksisterende lekkasjer fortsetter å dukke opp. Mens informasjonen som er offentliggjort ofte er utdatert (mange av e-postene som ble lagt ut sammen med Dropbox-passordene ble deaktivert i 2012), er det fortsatt verdifullt for hackere som lager store lister med e-postadresser og passord som skal brukes i angrep mot andre nettsteder. .
Og bare i tilfelle det ikke er klart, er dette også din feil: Hvis du bruker de samme passordene om og om igjen med forskjellige apper, trenger ikke hackere å komme inn på Apple eller Facebooks servere for å finne dem. De identifiserer ganske enkelt de mindre appene med den svakeste passordsikkerheten.
--Dette historie først dukket opp på Business Insider.
