Oglas

Po novicah o obsežni kršitvi Googlovih strežnikov, zaradi katerih je bilo prekinjenih domnevnih 5 milijonov e-poštnih naslovov, so različna spletna mesta predlagala, da bi bralci morali preverite, ali so bili žrtev, tako da vnesete njihove e-poštne naslove v "orodja za preverjanje" - spletna mesta, ki lahko ugotovijo, ali je e-poštni naslov na seznamu vdorov poverilnice.

Težava je v tem, da nekatera od teh orodij za preverjanje niso bila tako legitimna, kot bi utegnila upati spletna mesta, ki jih povezujejo…

5 milijonov e-poštnih naslovov: resnica

Takrat so poročali o množičnem puščanju 5 milijonov uporabniških imen in geslov za Gmail račun, kmalu pa se je izkazalo, da je bila zgodba prav to: zgodba.

Če ga razložim malo kasneje, Google je razkril, da je bilo manj kot 2% kombinacij uporabniškega imena in gesla natančnihin da bi njihova lastna varnostna orodja za prijavo ujela večino teh.

muo-email-checker-prevara-dolar

Pojasnili so tudi, da poverilnice niso bile vdrte iz njihovih lastnih strežnikov, ampak z drugih spletnih mest:

instagram viewer

Pomembno je upoštevati, da v tem primeru in v drugih primerih izpuščena uporabniška imena in gesla niso bila posledica kršitve Googlovih sistemov. Te poverilnice so pogosto pridobljene s kombinacijo drugih virov.

Na primer, če ponovno uporabite isto uporabniško ime in geslo na spletnih mestih in se eno od teh spletnih mest zlomi, se lahko vaše poverilnice uporabijo za prijavo na druga.

Gmail račun, izbran v prejšnji kršitvi - odmeven ali kako drugače -, bi bil lahko eden od tistih, ki so v zbirki podatkov, ki so v rokah "hekerjev". V bistvu gre za podatke, ki so morda že bili v spletu v takšni ali drugačni obliki, Gmail račune, ki so jih širili iz več virov.

Toda kako je ta zgodba tako hitro prešla v tok? Verjetno s pomočjo velike, okrogle številke, kot je 5 milijonov, in pametne vrvice hekerjev, ki so gesla za račun objavili na ruskem Bitcoin forumu. Vstavite spletno orodje za preverjanje, ki potrjuje, ali je vaš e-poštni račun na smetišču in imate veliko novico.

Seveda se zdi verjetno, da bi isleaked.com ni spletno mesto, za katerega so ljudje mislili, da je.

Kako deluje ponarejeni preveritelj računa e-pošte

Preverjanje e-poštnega naslova pred bazo podatkov (ki je lahko SQL, Access ali celo besedilna datoteka Kaj je torej baza podatkov? [MakeUseOf pojasnjuje]Za programerja ali tehnološkega navdušenca je koncept baze podatkov nekaj, kar je res lahko samoumevno. Vendar pa je mnogim ljudem pojem baze podatkov nekoliko tuj ... Preberi več ) hakiranih e-poštnih računov je relativno preprost. V kombinaciji z enostavno prenesenim skriptom bi lahko takšno spletno mesto postavili v 30 minutah.

Troy Hunt ima medtem veliko boljši pristop, zato bi morali uporabljati njegovo spletno mesto, da preverite, ali puščajo vaše poverilnice, kadar koli preberete ali slišite za krajo računa.

muo-email-checker-pwned

Kot je pojasnil na svojem blogu, Hunt je zgradil Sem že bil pwned?, zakonito spletno mesto (Hunt je Microsoftov MVP za varnost razvijalcev), namenjeno povprečnim uporabnikom, da vtipkajo svoj e-poštni naslov in ugotovijo, ali so bili vlomljeni ali ne. Uporaba podatkov, poslanih na spletna mesta, kot so Pastebin.com, celo pove, katera kršitev je odgovorna za prisotnost vašega e-poštnega računa v njegovi bazi podatkov.

Iščete preverjanje zakonitega hakiranega e-poštnega računa?

Ko so rezultati prikazani, se na spletnem mestu prikaže ime spletnega mesta, iz katerega so uhajali podatki vašega računa. Upajmo, da bi vas to spletno mesto zasebno poslalo po e-pošti ali objavilo objavo.

(Seveda, če vas skrbi, da je bil vaš e-poštni račun zlomljen, vseeno spremenite geslo. Ne pozabite naj bo varen in nepozaben 6 nasvetov za ustvarjanje nepremagljivega gesla, ki se ga lahko spomniteČe vaša gesla niso edinstvena in nepremagljiva, lahko odprete vhodna vrata in povabite roparje na kosilo. Preberi več .)

muo-email-checker-scam-ohnoes

Kot je razvidno iz zgornje slike, je bil moj e-poštni račun eden izmed številnih, ki so jih našli v množični kršitvi programa Adobe leta 2013. Uporabite podatke, ki jih ponuja Huntovo spletno mesto, da začnejo delovati takoj, čeprav bodite pozorni, da bo tudi vaš e-poštni naslov ostal, ko bo spremenjeno geslo.

Če je praktično, je morda vredno razmisliti tudi o spremembi e-poštnega naslova, ki ga uporabljate s svojimi spletnimi računi.

Dostojna skrbnost ne bi smela biti stvar preteklosti

Ključni element novinarstva je skrbnost; preverjanje dejstev. Preprosto regurgitiranje sporočil za javnost ni dovolj. To lahko stori kateri koli pisatelj, ne glede na to, ali sestavlja vsebino za 1 dolar na 1000 besed ali plača vrhunskemu imenu v založništvu.

Na žalost na svetovnem spletu se to ne zgodi dovolj.

Nekaj ​​minut preverjanja dejstev bi pokazalo, da je zahtevek za 5 milijonov naslovov izmišljotina. Kot smo takrat poročali, naslovi so bili zbrani iz zbirke prejšnjih puščanj Gmail Gesla puščajo na spletu, Microsoft spušča Windows Phone in še več... [Tech News Digest]Prav tako negativne ocene, Deezer v ZDA, Google Pyramids, NES 3DS in svetleč stroj Rube Goldberg. Preberi več . Ruski hekerji so lahko sestavili seznam in ne kršili Googlove varnosti.

muo-email-checker-scam-isleaked

Medtem je še posebej sumljivo, da je bilo spletno mesto, ki so ga številne spletne strani priporočile za preverjanje e-poštnih sporočil, isleaked.com. Radovedno je bilo registrirano le dva dni pred puščanjem, v Rusiji pa je bil njegov nenadni obstoj bodisi izjemno naključen, bodisi načrtovan.

Kot vedno pravim, na spletu varnost ni naključij.

Konec koncev, kakšen boljši način za potrditev seznama naslovov, za katere trdite, da so vdrli, kot pa, da lastniki računov preverijo, ali jih še vedno uporabljajo ali ne? To je način delovanja pošiljateljev neželene pošte - mrtvi naslovi so brez vrednosti, zato vas mnogi nezaželena e-poštna sporočila prosijo, da odgovorite. Vaš odgovor je zabeležen in naslov ohranjen.

Preverjanje puščanja e-pošte isleaked.com bi lahko bil bolj izpopolnjen pristop. Medtem ko trdijo:

Ne zbiramo vaših e-poštnih sporočil, URL-jev / naslovov IP, dnevnikov dostopa niti rezultatov preverjanja. Ali med testom z vašo napravo ne storimo ničesar škodljivega!

… Je malo razloga za zaupanje spletnemu mestu. Troy Hunt, ki ga je podprl ugled, razloži, kako deluje njegovo spletno mesto, zato ga je smiselno uporabljati.

Razsodba: Ne reagirajte brez dejstev

Iz tega se lahko naučimo, da nihče ne bi smel ukrepati na podlagi trditev o kršitvah in krajih podatkov, ne da bi imel popolna dejstva. Enostavno je preveč spremenljivk, ki jih je treba upoštevati.

Z zahtevki o kramptu v Gmailu se zdi varna domneva, da so domnevni hekerji preprosto preverjali svojo zbirko naslovov, predvidoma uporabljenih v različnih kampanjah za neželeno pošto.

Nekateri so bili pristni, drugi so že zdavnaj potekli.

Najboljše spletno mesto za preverjanje, ali je bil vaš e-poštni naslov ukraden in je našel pot na spletno mesto, kot je Pastebin.com, je haveibeenpwned.com.

Ironično je, da kar zadeva 5 milijonov Gmailovih naslovov, ki naj bi bili vdrli od Googla, je bil tisto tehnološko tisk resnično pwned.

Rob Hyrons prek Shutterstocka

Christian Cawley je namestnik urednika za varnost, Linux, samostojno delo, programiranje in razloženo tehnologijo. Proizvaja tudi Zares uporaben Podcast in ima bogate izkušnje na področju podpore za namizje in programsko opremo. Christian je sodelavec revije Linux Format, kristjalec Raspberry Pi, ljubitelj Lego in ljubitelj retro iger.