מוקדם יותר החודש, שירות הגנת זהות מקוון NortonLifeLock, בבעלות חברת הטכנולוגיה Gen Digital מאריזונה, שלח אזהרת אבטחה לרבים מלקוחותיו.
ניתן לעיין במכתב האזהרה באינטרנט, למשל באתר האינטרנט של משרד התובע הכללי של ורמונט, שם הוא מופיע מתחת לכותרת NortonLifeLock - הודעת הפרת נתונים דיגיטלית מהדור לצרכנים.
המכתב מתחיל בהצדעה שנשמעת מפחידה שאומרת:
אנו כותבים כדי להודיע לך על אירוע הקשור למידע האישי שלך.
זה ממשיך כך:
[מערכות זיהוי החדירה שלנו] התריעו בפנינו שלצד לא מורשה יש ככל הנראה ידע על האימייל והסיסמה שבהם השתמשת בחשבון Norton שלך […] ועם Norton Password Manager שלך. אנו ממליצים לך לשנות את הסיסמאות שלך איתנו ובמקומות אחרים באופן מיידי.
לפי פסקאות הפתיחה, הסעיף הזה די פשוט, ומכיל עצות לא מסובכות אם עלולות לגזול זמן: מישהו אחר חוץ ממך כנראה יודע את סיסמת חשבון Norton שלך; ייתכן שהם הצליחו להציץ גם למנהל הסיסמאות שלך; אנא שנה את כל הסיסמאות בהקדם האפשרי.
מה קרה פה?
אבל מה בעצם קרה כאן, והאם זו הייתה הפרה במובן המקובל?
אחרי הכל, LastPass, עוד שם מוכר במשחק ניהול הסיסמאות, הודיעה לאחרונה לא רק שהיא ספגה חדירה לרשת, אלא גם שנתוני לקוחות, כולל סיסמאות מוצפנות, נגנב.
במקרה של LastPass, למרבה המזל, הסיסמאות הגנובות לא הועילו לתוקפים באופן ישיר ומיידי, מכיוון שכל כספת הסיסמאות של כל משתמש הייתה מוגנת בסיסמת אב, שלא נשמרה על ידי LastPass ולכן לא נגנבה בו זמנית. .
הנוכלים עדיין צריכים לפצח תחילה את סיסמאות המאסטר הללו, משימה שעשויה להימשך שבועות, שנים, עשורים או אפילו יותר, עבור כל משתמש, תלוי באיזו נבונה סיסמאות אלו נבחרו.
בחירות גרועות כגון 123456
ו iloveyou
ככל הנראה היו רעמים במהלך השעות הראשונות של הפיצוח, אבל שילובים פחות צפויים כגון DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
כמעט בוודאות יחזיק מעמד הרבה יותר זמן ממה שייקח כדי לשנות את הסיסמאות בכספת שלך.
אבל אם LifeLock פשוט סבלה מהפרה, והחברה מזהירה שמישהו אחר כבר ידע את סיסמאות החשבונות של חלק מהמשתמשים, ואולי גם את סיסמת האב לכל הסיסמאות האחרות שלהם...
...זה לא הרבה יותר גרוע?
האם הסיסמאות האלה כבר נפצחו איכשהו?
פריצה מסוג אחר
החדשות הטובות הן שנראה שהמקרה הזה הוא סוג אחר לגמרי של "הפרה", ככל הנראה הנגרמת על ידי הנוהג המסוכן של שימוש באותה סיסמה עבור מספר שירותים מקוונים שונים על מנת להפוך את הכניסה לאתרים הנפוצים שלך לקצת יותר מהירה וקל יותר.
מיד לאחר העצה המוקדמת של LifeLock ללכת ולשנות את הסיסמאות שלך, החברה מציעה כי:
[ב]החל בסביבות 2022-12-01, צד שלישי לא מורשה השתמש ברשימת שמות משתמש וסיסמאות שהתקבלו ממקור אחר, כגון האינטרנט האפל, כדי לנסות להיכנס לחשבונות לקוחות של Norton. המערכות שלנו לא נפגעו. עם זאת, אנו מאמינים מאוד שצד שלישי לא מורשה יודע והשתמש בשם המשתמש והסיסמה שלך עבור חשבונך.
הבעיה בשימוש באותה סיסמה במספר חשבונות שונים ברורה - אם אחד מהחשבונות שלך נפגע, אז כל החשבונות שלך נפגעים גם כן, מכיוון שהסיסמה הגנובה הזו פועלת כמו מפתח שלד לשירותים האחרים המעורבים .
מלית אישורים מוסברת
למעשה, תהליך הבדיקה אם סיסמה גנובה אחת פועלת במספר חשבונות הוא כל כך פופולרי בקרב נוכלי סייבר (והוא כל כך אוטומטי אוטומטי) שאפילו יש לו שם מיוחד: מלית אישורים.
אם פושע מקוון מנחש, קונה ברשת האפלה, גונב או מתחזה סיסמה לכל חשבון שבו אתה משתמש, אפילו משהו ברמה נמוכה כמו אתר החדשות המקומיות שלך או מועדון הספורט שלך, הוא ינסה כמעט מיד את אותה סיסמה ב חשבונות סבירים אחרים על שמך.
במילים פשוטות, התוקפים לוקחים את שם המשתמש שלך, משלבים אותו עם הסיסמה שהם כבר יודעים, וכן דברים אלה אישורי לדפי הכניסה של שירותים פופולריים רבים ככל שהם יכולים לחשוב עליהם.
שירותים רבים בימינו אוהבים להשתמש בכתובת האימייל שלך כשם משתמש, מה שהופך את התהליך הזה לעוד יותר צפוי עבור הרעים.
אגב, גם שימוש ב"גזע" בסיסמא יחיד וקשה לניחוש והוספת שינויים עבור חשבונות שונים לא עוזר הרבה.
זה המקום שבו אתה מנסה ליצור "מורכבות" מזויפת על ידי התחלת עם רכיב נפוץ זה is מסובך, כגון Xo3LCZ6DD4+aY
, ולאחר מכן הוספת שינויים לא מסובכים כגון -fb
עבור פייסבוק, -tw
עבור טוויטר ו -tt
עבור טיק טוק.
סיסמאות המשתנות אפילו לפי תו בודד יסתיימו עם גיבוב סיסמא מקושקש שונה לחלוטין, כך שמסדי נתונים גנובים של גיבוב סיסמאות לא יגידו לך דבר על כמה בחירות סיסמאות שונות דומות...
...אבל התקפות מילוי אישור משמשות כאשר התוקפים כבר יודעים את הטקסט הפשוט של הסיסמה שלך, לכן חיוני להימנע מלהפוך כל סיסמה לרמז שימושי עבור כל האחרים.
דרכים נפוצות שבהן סיסמאות לא מוצפנות נופלות לידיים פליליות כוללות:
- התקפות דיוג, שבו אתה מקליד בטעות את הסיסמה הנכונה באתר הלא נכון, כך שהיא נשלחת ישירות לעבריינים במקום לשירות שבו בעצם התכוונת להיכנס.
- תוכנת ריגול Keylogger, תוכנה זדונית שמתעדת בכוונה את ההקשות הגולמיות שאתה מקליד בדפדפן שלך או באפליקציות אחרות במחשב הנייד או בטלפון שלך.
- היגיינת רישום צד שרת לקויה, שבו פושעים שפורצים לשירות מקוון מגלים שהחברה רשמה בטעות סיסמאות טקסט רגיל לדיסק במקום לשמור אותן רק באופן זמני בזיכרון.
- תוכנות זדוניות מגרדות זיכרון RAM, שפועל על שרתים שנפגעו כדי להיזהר מדפוסי נתונים סבירים המופיעים באופן זמני בזיכרון, כגון פרטי כרטיסי אשראי, מספרי זהות וסיסמאות.
אתה לא מאשים את הקורבנות?
למרות שנראה כאילו LifeLock עצמה לא נפרצה, במובן המקובל של פושעי סייבר שפורצים לרשתות של החברה עצמה ומחטטים בנתונים מבפנים, כביכול...
... ראינו קצת ביקורת על אופן הטיפול באירוע הזה.
למען ההגינות, ספקי אבטחת סייבר לא תמיד יכולים למנוע מהלקוחות שלהם "לעשות את הדבר הלא נכון" (במוצרי Sophos, למשל, אנו עושים כמיטב יכולתנו להזהיר אותך על המסך, בצורה בהירה ונועזת, אם תבחר בהגדרות תצורה שהן מסוכן יותר ממה שאנחנו ממליצים, אבל אנחנו לא יכולים להכריח אותך לקבל את העצה שלנו).
יש לציין ששירות מקוון לא יכול בקלות למנוע ממך להגדיר בדיוק את אותה סיסמה באתרים אחרים - לא מעט משום שהוא יצטרך לשתף פעולה עם אותם אתרים אחרים כדי לעשות זאת, או לבצע בדיקות מילוי אישורים משלו, ובכך להפר קדושת הסיסמה שלך.
עם זאת, כמה מבקרים הציעו ש-LifeLock יכלה לזהות את התקפות דחיסת סיסמאות בתפזורת מהר יותר ממה שהיא עשתה, אולי על ידי זיהוי הדפוס החריג של ניסיונות התחברות, ככל הנראה כולל רבים שנכשלו מכיוון שלפחות חלק מהמשתמשים שנפגעו לא עשו שימוש חוזר סיסמאות, או בגלל שמאגר הסיסמאות הגנובות היה לא מדויק או לא מעודכן.
אותם מבקרים מציינים שחלפו 12 ימים בין תחילת ניסיונות ההתחברות המזויפים לבין שהחברה זיהתה את החריגות (2022-12-01 עד 2022-12-12), ו-10 ימים נוספים בין הבחינה הראשונה בבעיה ועד להבנה שהבעיה היא כמעט בוודאות בגלל נתונים שנפרצו שנרכשו ממקור אחר מלבד הרשתות של החברה עצמה.
אחרים תהו מדוע החברה חיכתה עד לשנה החדשה 2023 (2022-12-12 עד 2023-01-09) כדי לשלוח את הודעת ה"פריצה" שלה למשתמשים המושפעים, אם היא הייתה מודעת לניסיונות דחיית סיסמאות בכמות גדולה לפני חג המולד 2022.
לא ננסה לנחש אם החברה יכלה להגיב מהר יותר, אבל כדאי לזכור - למקרה שזה יקרה לך אי פעם - שקביעת כל העובדות הבולטות לאחר קבלת טענות על "פריצה" יכולה להיות ממותה. מְשִׁימָה.
למרבה הצער, ואולי באופן אירוני, לגלות שנפרצת ישירות על ידי מה שנקרא יריבים פעילים לעתים קרובות קל מדכא.
כל מי שראה מאות מחשבים בו-זמנית מציגים פתק סחיטה של תוכנת כופר בפנים שלך הדורש אלפי או מיליוני דולרים במטבעות קריפטו, יעיד על כך לצערנו.
אבל להבין אילו נוכלי סייבר בהחלט לא עשה לרשת שלך, שבעצם מוכיחה את עצמה כשלילית, היא לעתים קרובות תרגיל שלוקח זמן, לפחות אם אתה רוצה לעשות זאת באופן מדעי, וברמת דיוק מספקת כדי לשכנע את עצמך, את הלקוחות שלך ואת הרגולטורים.
מה לעשות?
באשר להאשמת קורבנות, בכל זאת חיוני לציין שככל הידוע לנו, אין שום דבר ש-LifeLock, או כל שירות אחר שבו נעשה שימוש חוזר בסיסמאות, יכולים לעשות כעת, בכוחות עצמם, כדי לתקן את הגורם התחתון של הבעיה הזו.
במילים אחרות, אם נוכלים נכנסים לחשבונות שלך בשירותים P, Q ו-R המאובטחים בצורה הגונה רק בגלל שהם גילו שהשתמשת באותה סיסמה באתר S הלא כל כך מאובטח, אותם אתרים מאובטחים יותר לא יכולים למנוע ממך לקחת את אותו סוג של סיכון בעתיד.
אז הטיפים המיידיים שלנו הם:
- אם אתה נוהג לעשות שימוש חוזר בסיסמאות, אל תעשה זאת יותר! אירוע זה הוא רק אחד מני רבים בהיסטוריה שמושכים את תשומת הלב לסכנות הכרוכות בכך. זכור שאזהרה זו לגבי שימוש בסיסמה שונה עבור כל חשבון חלה על כולם, לא רק על לקוחות LifeLock.
- אל תשתמש בסיסמאות קשורות באתרים שונים. גזע סיסמאות מורכב בשילוב עם סיומת ייחודית לזיכרון בקלות לכל אתר, תיתן לך, פשוטו כמשמעו, סיסמה שונה בכל אתר. אבל התנהגות זו מותירה בכל זאת דפוס ברור ונוכלים עשויים להבין, אפילו מדגימת סיסמה אחת שנפרצה. ה"טריק" הזה פשוט נותן לך תחושת ביטחון מזויפת.
- אם קיבלת הודעה מ-LifeLock, פעל לפי העצה שבמכתב. ייתכן שחלק מהמשתמשים יקבלו הודעות עקב כניסות חריגות שבכל זאת היו לגיטימיות (למשל בזמן חופשה), אבל בכל זאת קרא את זה בעיון.
- שקול להפעיל את 2FA עבור כל חשבונות שאתה יכול. LifeLock עצמה ממליצה על 2FA (אימות דו-שלבי) עבור חשבונות Norton, ולכל חשבונות שבהם נתמכות כניסות דו-גורמיות. אנחנו מסכימים, כי סיסמאות גנובות בפני עצמן הן הרבה פחות שימושיות לתוקפים אם יש לך גם 2FA בדרכם. עשה זאת בין אם אתה לקוח LifeLock ובין אם לא.
ייתכן שעדיין נגיע לעולם דיגיטלי ללא סיסמאות כלל - שירותים מקוונים רבים מנסים להתקדם בכיוון הזה כבר, בוחנים מעבר בלעדי לדרכים אחרות לבדיקת הזהות המקוונת שלך, כגון שימוש באסימוני חומרה מיוחדים או ביצוע מדידות ביומטריות במקום זאת.
אבל סיסמאות נמצאות איתנו כבר יותר מחצי מאה, אז אנחנו חושדים שהן יהיו איתנו עוד שנים רבות, עבור חלק או רבים, אם כבר לא כולם, מהחשבונות המקוונים שלנו.
למרות שאנחנו עדיין תקועים עם סיסמאות, בואו נעשה מאמץ נחוש להשתמש בהן בצורה שתעניק כמה שפחות עזרה לפושעי רשת.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- יכול
- אודות
- מוּחלָט
- לְקַבֵּל
- חֶשְׁבּוֹן
- חשבונות
- דיוק
- נרכש
- לרוחב
- מעשים
- למעשה
- כתובת
- עצה
- לאחר
- תעשיות
- כְּבָר
- תמיד
- ו
- הודיע
- אחר
- לְהוֹפִיעַ
- אפליקציות
- ארכיון
- סביב
- המתקפות
- ניסיתי
- ניסיונות
- תשומת לב
- עו"ד
- אימות
- מחבר
- המכונית
- אוטומטי
- רקע תמונה
- רע
- כי
- לפני
- תאמינו
- הטוב ביותר
- בֵּין
- ביומטרי
- קצת
- סחטנות
- מאשים
- גבול
- תַחתִית
- הפרה
- לשבור
- שבירה
- דפדפן
- קונה
- כרטיס
- בזהירות
- מקרה
- לגרום
- גרם
- מרכז
- מאה
- בהחלט
- שינוי
- אופי
- בדיקה
- בחירות
- בחרו
- נבחר
- חַג הַמוֹלָד
- טענות
- מועדון
- צֶבַע
- שילובים
- לשלב
- משולב
- Common
- חברה
- של החברה
- מורכב
- מסובך
- רְכִיב
- התפשר
- מחשבים
- לנהל
- תְצוּרָה
- מכיל
- ממשיך
- מקובל
- לְשַׁכְנֵעַ
- יכול
- לכסות
- סדק
- לִיצוֹר
- תְעוּדָה
- מלית אישורים
- אשראי
- כרטיס אשראי
- פלילי
- פושעים
- ביקורת
- מבקרים
- קרוקס
- לקוח
- נתוני לקוחות
- לקוחות
- עברייני אינטרנט
- אבטחת סייבר
- סכנות
- כהה
- אינטרנט אפל
- נתונים
- נתוני פרה
- מסד נתונים
- מאגרי מידע
- ימים
- עשרות שנים
- תובעני
- תלוי
- פרטים
- איתור
- נחוש
- קביעה
- DID
- אחר
- דיגיטלי
- הדיגיטלי שלך
- ישיר
- כיוון
- ישירות
- לגלות
- גילה
- לְהַצִיג
- לא
- דולר
- לא
- מטה
- כל אחד
- מוקדם
- קל יותר
- בקלות
- מאמץ
- או
- במקום אחר
- אמייל
- מוצפן
- למעשה
- אֲפִילוּ
- אי פעם
- כולם
- בדיוק
- דוגמה
- אך ורק
- תרגיל
- פייסבוק
- נכשל
- הוגן
- מְזוּיָף
- ליפול
- מעטים
- תרשים
- מציאת
- ראשון
- לסדר
- לעקוב
- כדלקמן
- להכריח
- למרבה המזל
- החל מ-
- נוסף
- עתיד
- מִשְׂחָק
- Gen
- לקבל
- לתת
- נותן
- Go
- הולך
- טוב
- חצי
- ידיים
- שימושי
- קרה
- קורה
- חומרה
- שירים
- גובה
- לעזור
- כאן
- היסטוריה
- להחזיק
- שעות
- לרחף
- איך
- אולם
- HTTPS
- מאות
- זהות
- מיידי
- מיד
- in
- תקרית
- לכלול
- כולל
- מידע
- במקום
- גילוי פריצה
- מעורב
- באופן אירוני
- סוגיה
- IT
- עצמו
- רק אחד
- שמירה
- מפתח
- לדעת
- ידע
- מחשב נייד
- LastPass
- מכתב
- רמה
- סביר
- רשימה
- קְצָת
- מקומי
- עוד
- הסתכלות
- נראה
- לעשות
- עושה
- תוכנות זדוניות
- ניהול
- מנהל
- רב
- שולים
- אב
- max-width
- מידות
- זכרון
- יכול
- מיליונים
- שינויים
- חוֹדֶשׁ
- יותר
- המהלך
- מספר
- שם
- צורך
- שלילי
- רשת
- רשתות
- אף על פי כן
- חדש
- ראש השנה
- חדשות
- נוֹרמָלִי
- הודעה
- הודעות
- מספרים
- מושג
- ברור
- ONE
- באינטרנט
- פתיחה
- להזמין
- אחר
- אחרים
- שֶׁלוֹ
- בבעלות
- צד
- סיסמה
- ניהול סיסמאות
- מנהל סיסמא
- סיסמאות
- תבנית
- דפוסי
- פול
- אוּלַי
- אישי
- טלפון
- טקסט רגיל
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אנא
- פופולרי
- עמדה
- אפשרי
- הודעות
- פוטנציאל
- תרגול
- צפוי
- יפה
- למנוע
- כנראה
- בעיה
- תהליך
- מוצרים
- מוּגָן
- .
- גם
- מהר
- מהירות
- ransomware
- חי
- חומר עיוני
- לקבל
- קיבלו
- לאחרונה
- להמליץ
- ממליצה
- רשום
- רגולטורים
- קָשׁוּר
- לזכור
- זוכר
- הסיכון
- מְסוּכָּן
- אותו
- גרידה
- אבטחה
- נראה
- תחושה
- רציני
- שרות
- שירותים
- הצבה
- הגדרות
- כמה
- דומה
- בפשטות
- בו זמנית
- יחיד
- אתר
- אתרים
- חטטנות
- So
- תוכנה
- מוצק
- כמה
- מישהו
- משהו
- בקרוב
- מָקוֹר
- מדבר
- מיוחד
- ספורט
- תוכנות ריגול
- החל
- התחלות
- גונב
- גֶזַע
- עוד
- גָנוּב
- עצור
- מאוחסן
- סיפור
- פשוט
- בְּתוֹקֶף
- מלית
- כזה
- מספיק
- מציע
- נתמך
- SVG
- מערכות
- לקחת
- נטילת
- המשימות
- טכנולוגיה
- בדיקות
- בדיקות
- השמיים
- שֶׁלָהֶם
- לכן
- שְׁלִישִׁי
- אלפים
- דרך
- טיק טוק
- זמן
- דורש זמן רב
- טיפים
- כותרת
- ל
- מטבעות
- חלק עליון
- לְגַמרֵי
- מַעֲבָר
- שָׁקוּף
- פנייה
- תחת
- ייחודי
- בלתי שגרתי
- כתובת האתר
- us
- להשתמש
- משתמש
- משתמשים
- מנוצל
- חופשה
- קמרון
- ספקים
- ורמונט
- קורבנות
- מפר
- חיוני
- אזהרה
- שעון
- דרכים
- אינטרנט
- אתר
- שבועות
- מוכר
- מה
- אם
- אשר
- בזמן
- מי
- יצטרך
- בתוך
- לְלֹא
- מילים
- עובד
- עוֹלָם
- ראוי
- היה
- כתיבה
- טעות
- שנה
- שנים
- עצמך
- זפירנט