今月初め、アリゾナに本拠を置くテクノロジー企業 Gen Digital が所有する NortonLifeLock オンライン ID 保護サービスは、多くの顧客にセキュリティ警告を送信しました。
警告書はオンラインで見ることができます。 バーモント州司法長官室、タイトルの下に表示されます ノートンLifeLock – ジェネラル デジタル データ侵害の消費者への通知.
手紙は、次のような恐ろしい響きの挨拶で始まります。
お客様の個人情報に関連する事件についてお知らせいたします。
次のように続きます。
[当社の侵入検知システム] は、ノートン アカウント […] およびノートン パスワード マネージャーで使用している電子メールとパスワードを権限のない第三者が知っている可能性があることを警告しました。 当社および他の場所でパスワードをすぐに変更することをお勧めします。
冒頭の段落が進むにつれて、これは非常に単純明快であり、時間のかかる可能性があるとはいえ単純なアドバイスが含まれています。 パスワード マネージャーをのぞき見ることもできた可能性があります。 できるだけ早くすべてのパスワードを変更してください。
ここで何が起こったのですか?
しかし、ここで実際に何が起こったのでしょうか。これは従来の意味での違反でしたか?
結局のところ、パスワード管理ゲームのもう XNUMX つの有名な名前である LastPass は最近、ネットワークへの侵入を受けただけでなく、その顧客データについても発表しました。 暗号化されたパスワードを含む、盗まれていました。
LastPass の場合、幸いなことに、盗まれたパスワードは、攻撃者が直接すぐに使用することはできませんでした。これは、各ユーザーのパスワード ボールトが、LastPass によって保存されていないマスター パスワードによって保護されていたため、同時に盗まれることはなかったからです。 .
詐欺師は依然としてマスター パスワードを最初にクラックする必要があります。この作業は、ユーザーごとに数週間、数年、数十年、さらにはそれ以上かかる可能性があります。これらのパスワードがどれだけ賢明に選択されたかによって異なります。
などの悪い選択 123456
および iloveyou
おそらくクラッキングの最初の数時間以内に鳴り響きましたが、次のような予測しにくい組み合わせでした。 DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
ほぼ確実に、ボールト内のパスワードを変更するよりもはるかに長く持ちこたえます。
しかし、LifeLock が侵害されたばかりで、誰かがすでに一部のユーザーのアカウント パスワードを知っていて、おそらく他のすべてのパスワードのマスター パスワードも知っていると会社が警告している場合は…
…それはもっと悪いことではありませんか?
これらのパスワードは、何らかの方法で既にクラックされていますか?
別の種類の侵害
幸いなことに、このケースはまったく異なる種類の「侵害」のようです。おそらく、よく使用するサイトへのログインを少しでも速くするために、複数の異なるオンライン サービスで同じパスワードを使用するという危険な慣行が原因であると思われます。そして簡単。
パスワードを変更するよう LifeLock が初期にアドバイスした直後に、同社は次のように提案しています。
[B] 2022 年 12 月 01 日ごろから、許可されていない第三者が、ダーク Web などの別のソースから取得したユーザー名とパスワードのリストを使用して、ノートンの顧客アカウントにログインしようとしました。 私たち自身のシステムは侵害されていません。 ただし、許可されていない第三者があなたのアカウントのユーザー名とパスワードを知っていて、悪用していると強く信じています。
複数の異なるアカウントで同じパスワードを使用することの問題は明らかです。アカウントのいずれかが侵害された場合、すべてのアカウントが侵害されたのと同じように侵害されます。 .
Credential Stuffing の説明
実際、盗まれた XNUMX つのパスワードが複数のアカウントで機能するかどうかをテストするプロセスは、サイバー犯罪者に非常に人気があり (しかも簡単に自動化できるため)、特別な名前が付けられています。 クレデンシャルスタッフィング.
オンライン犯罪者が、あなたが使用しているアカウントのパスワードを推測したり、ダーク Web で購入したり、盗んだり、フィッシングしたりすると、ローカル ニュース サイトやスポーツ クラブのような低レベルのアカウントであっても、すぐに同じパスワードをあなたの名前で他の可能性のあるアカウント。
簡単に言えば、攻撃者はあなたのユーザー名を取得し、それを既に知っているパスワードと組み合わせて、 スタッフ それらの 資格情報 考えられる限り多くの人気のあるサービスのログインページに。
最近の多くのサービスは、メール アドレスをユーザー名として使用することを好みます。これにより、このプロセスは悪者にとってより予測しやすくなっています。
ところで、推測しにくい単一のパスワード「ステム」を使用し、異なるアカウントに変更を加えても、あまり役に立ちません。
そこで、共通のコンポーネントから始めて、偽の「複雑さ」を作成しようとします。 is などの複雑な Xo3LCZ6DD4+aY
、そして次のような単純な修飾子を追加します -fb
Facebookの場合、 -tw
Twitterと -tt
ティックトック用。
XNUMX 文字でも異なるパスワードは、完全に異なるスクランブルされたパスワード ハッシュになるため、盗まれたパスワード ハッシュのデータベースからは、異なるパスワードの選択肢がどれほど似ているかについては何もわかりません…
…しかし、Credential Stuffing 攻撃は次の場合に使用されます。 攻撃者はあなたのパスワードのプレーンテキストをすでに知っています、したがって、各パスワードが他のすべての便利なヒントにならないようにすることが重要です。
暗号化されていないパスワードが犯罪者の手に渡る一般的な方法は次のとおりです。
- フィッシング攻撃、 うっかり正しいパスワードを間違ったサイトに入力してしまうと、実際にログインしようとしていたサービスではなく、犯罪者に直接送信されてしまいます。
- キーロガースパイウェア、 悪意のあるソフトウェアで、ユーザーがブラウザやラップトップや電話の他のアプリに入力した生のキーストロークを故意に記録します。
- サーバー側のロギングの衛生状態が悪い、 オンライン サービスに侵入した犯罪者は、会社が平文のパスワードをメモリに一時的に保持するのではなく、誤ってディスクに記録していたことを発見します。
- RAM スクレイピング マルウェア、 これは侵害されたサーバー上で実行され、クレジット カードの詳細、ID 番号、パスワードなど、メモリに一時的に現れる可能性のあるデータ パターンを監視します。
被害者を責めてませんか?
LifeLock自体は侵害されていないように見えますが、サイバー犯罪者が自社のネットワークに侵入し、内部からデータを盗み見ている従来の意味では、いわば…
…この事件の処理方法について、いくつかの批判がありました。
公平を期すために言うと、サイバーセキュリティ ベンダーは、顧客が「間違ったことをする」ことを常に防止できるわけではありません (たとえば、ソフォス製品では、ユーザーが適切でない構成設定を選択した場合、画面上で明るく大胆に警告するよう最善を尽くしています)。私たちが推奨するよりも危険ですが、私たちのアドバイスを受け入れるよう強制することはできません)。
特に、オンライン サービスは、ユーザーが他のサイトでまったく同じパスワードを設定するのを簡単に止めることはできません。特に、そのために他のサイトと共謀したり、独自の Credential Stuffing テストを実施したりして違反する必要があるためです。パスワードの神聖さ。
それにもかかわらず、一部の批評家は、LifeLock がこれらの大量のパスワードを詰め込む攻撃を、おそらくログイン試行の異常なパターンを検出することにより、実際よりも早く発見できた可能性があることを示唆しています。盗まれたパスワードのデータベースが不正確または古かったためです。
これらの批評家は、偽のログイン試行が開始されてから会社が異常を発見するまでに 12 日 (2022 年 12 月 01 日から 2022 年 12 月 12 日) が経過し、最初に問題に気付いてから問題がほぼ確実に、企業のネットワーク以外のソースから取得された侵害されたデータが原因です。
2023 年のクリスマス前に大量のパスワードを詰め込もうとする試みに気付いていたのに、なぜ会社が影響を受けるユーザーに「違反」通知を送信するのを 2022 年の新年 (12 年 12 月 2023 日から 01 年 09 月 2022 日) まで待ったのか疑問に思う人もいます。
会社がもっと迅速に対応できたかどうかを推測するつもりはありませんが、覚えておく価値はありますが、これがあなたに起こった場合に備えて、「違反」に関する申し立てを受けた後にすべての顕著な事実を判断することは非常に困難になる可能性があることを覚えておく価値があります。引き受けます。
腹立たしいことに、おそらく皮肉なことに、いわゆる アクティブな敵 多くの場合、憂鬱なほど簡単です。
数千ドルまたは数百万ドルのクリプトコインを要求するランサムウェアの恐喝メッセージを同時に表示する何百台ものコンピューターを見たことがある人なら誰でも、残念ながらそれを証明するでしょう。
しかし、サイバー詐欺師の正体を突き止めるには 絶対にしなかった 少なくとも科学的に、そして自分自身、顧客、および規制当局を納得させるのに十分なレベルの正確さでそれを行いたい場合、これは本質的に否定的であることが証明されています。
何をするか?
被害者のせいにすることに関しては、私たちが知る限り、ライフロックやパスワードが再利用された他のサービスが、現在、自分自身で被害者の根底にある原因を修正することは何もできないことに注意することが重要です.この問題。
言い換えれば、詐欺師が安全性の低いサイト S で同じパスワードを使用していることを発見したという理由だけで、安全性の高いサービス P、Q、R のアカウントに侵入した場合、それらのより安全なサイトは、あなたが今後も同様のリスクがあります。
したがって、当面のヒントは次のとおりです。
- パスワードを再利用する習慣がある場合は、それ以上使用しないでください。 この事件は、関連する危険性に注目を集めた歴史上の多くの事件の XNUMX つにすぎません。 アカウントごとに異なるパスワードを使用することに関するこの警告は、LifeLock のお客様だけでなく、すべての人に適用されることに注意してください。
- 異なるサイトで関連するパスワードを使用しないでください。 覚えやすい各サイト固有のサフィックスと組み合わせた複雑なパスワード ステムにより、文字通り、すべてのサイトで異なるパスワードが得られます。 しかし、この動作にもかかわらず、侵害されたパスワードのサンプルが XNUMX つでも、詐欺師が把握しやすい明らかなパターンが残されています。 この「トリック」は、誤った安心感を与えるだけです。
- LifeLock から通知を受け取った場合は、手紙のアドバイスに従ってください. 一部のユーザーは、通常とは異なるログイン (休暇中など) による通知を受信する可能性がありますが、とにかく注意深く読んでください。
- 可能なすべてのアカウントで 2FA を有効にすることを検討してください。 LifeLock 自体は、ノートン アカウント、および 2 要素ログインがサポートされているすべてのアカウントに対して 2FA (XNUMX 要素認証) を推奨しています。 XNUMXFA も利用している場合、盗まれたパスワード自体は攻撃者にとってあまり役に立たないため、同意します。 LifeLock の顧客であるかどうかにかかわらず、これを行ってください。
私たちはまだパスワードのないデジタル世界に行き着くかもしれません – 多くのオンラインサービスはすでにその方向に移行しようとしており、特別なハードウェアトークンの使用や生体認証の測定など、オンライン ID を確認する他の方法のみに切り替えることを検討しています。代わりは。
しかし、パスワードはすでに半世紀以上にわたって使用されてきたため、オンライン アカウントのすべてではないにしても、一部または多数で、今後何年も使用されると思われます。
私たちはまだパスワードに悩まされていますが、サイバー犯罪者をできるだけ助けないようにパスワードを使用するように断固たる努力をしましょう.
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- できる
- 私たちについて
- 絶対の
- 同意
- アカウント
- 精度
- 取得
- 越えて
- 使徒行伝
- 実際に
- 住所
- アドバイス
- 後
- すべて
- 既に
- 常に
- および
- 発表の
- 別の
- 現れる
- アプリ
- Archive
- 周りに
- 攻撃
- 試みた
- 試み
- 注意
- 弁護士
- 認証
- 著者
- オート
- 自動化
- 背景画像
- 悪い
- なぜなら
- 信じる
- BEST
- の間に
- バイオメトリック
- ビット
- 恐喝
- 非難
- 国境
- ボトム
- 違反
- ブレーク
- 破壊
- ブラウザ
- 買う
- カード
- 慎重に
- 場合
- 原因となる
- 生じました
- センター
- 世紀
- 確かに
- 変化する
- 文字
- 点検
- 選択肢
- 選択する
- 選ばれた
- クリスマス
- クレーム
- クラブ
- カラー
- 組み合わせ
- 組み合わせる
- 組み合わせた
- コマンドと
- 会社
- 会社の
- 複雑な
- 複雑な
- コンポーネント
- 損害を受けた
- コンピューター
- プロフェッショナルな方法で
- 含まれています
- 続ける
- 従来の
- 納得させる
- 可能性
- カバー
- クラック
- 作ります
- クレデンシャル
- クレデンシャルスタッフィング
- クレジット
- クレジットカード
- 刑事上の
- 犯罪者
- 批判
- 批評
- クルックス
- 顧客
- 顧客データ
- Customers
- サイバー犯罪者
- サイバーセキュリティ
- 危険
- 暗いです
- ダークウェブ
- データ
- データ侵害
- データベース
- データベースを追加しました
- 日
- 数十年
- 厳しい
- によっては
- 細部
- 検出
- 決定
- 決定
- DID
- 異なります
- デジタル
- デジタルワールド
- 直接
- 方向
- 直接に
- 発見する
- 発見
- ディスプレイ
- そうではありません
- ドル
- ドント
- ダウン
- 各
- 早い
- 容易
- 簡単に
- 努力
- どちら
- 他の場所で
- では使用できません
- 本質的に
- さらに
- EVER
- 誰も
- 正確に
- 例
- 排他的に
- 運動
- Failed:
- フェア
- 偽
- 秋
- 少数の
- フィギュア
- 発見
- 名
- 修正する
- 次
- 強
- 幸いにも
- から
- さらに
- 未来
- ゲーム
- ジェン
- 取得する
- 与える
- 与える
- Go
- 行く
- 良い
- 半分
- ハンド
- ハンディ
- が起こった
- 起こります
- Hardware
- ハッシュ
- 高さ
- 助けます
- こちら
- history
- HOURS
- ホバー
- 認定条件
- しかしながら
- HTTPS
- 何百
- アイデンティティ
- 即時の
- 直ちに
- in
- 事件
- include
- 含めて
- 情報
- を取得する必要がある者
- 侵入検知
- 関係する
- 皮肉なことに
- 問題
- IT
- 自体
- 一つだけ
- 保管
- キー
- 知っている
- 知識
- ノートパソコン
- のLastPass
- 手紙
- レベル
- 可能性が高い
- リスト
- 少し
- ローカル
- より長いです
- 探して
- LOOKS
- make
- 作る
- マルウェア
- 管理
- マネージャー
- 多くの
- マージン
- マスター
- 最大幅
- 測定結果
- メモリ
- かもしれない
- 何百万
- 修正
- 月
- 他には?
- の試合に
- 名
- 必要
- 負
- ネットワーク
- ネットワーク
- それにもかかわらず
- 新作
- 新年
- ニュース
- 通常の
- 通知
- 通知
- 番号
- 得
- 明白
- ONE
- オンライン
- 開設
- 注文
- その他
- その他
- 自分の
- 所有している
- パーティー
- パスワード
- パスワード管理
- パスワードマネージャ
- パスワード
- パターン
- パターン
- Paul Cairns
- おそらく
- 個人的な
- 電話
- 平文
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- お願いします
- 人気
- 位置
- 可能
- 投稿
- :
- 練習
- 予測可能な
- かなり
- 防ぐ
- 多分
- 問題
- プロセス
- 製品
- 保護された
- 保護
- 置きます
- より速い
- すぐに
- ランサムウェア
- Raw
- 読む
- 受け取ります
- 受け
- 最近
- 推奨する
- お勧めする
- 記録
- レギュレータ
- 関連する
- 覚えています
- 思い出す
- リスク
- リスキーな
- 同じ
- こすること
- セキュリティ
- と思われる
- センス
- 深刻な
- サービス
- サービス
- 設定
- 設定
- いくつかの
- 同様の
- 単に
- 同時に
- ウェブサイト
- サイト
- スヌーピング
- So
- ソフトウェア
- 固体
- 一部
- 誰か
- 何か
- すぐに
- ソース
- 話す
- 特別
- スポーツ
- スパイウェア
- 起動
- 開始
- 盗む
- ステム
- まだ
- 盗まれました
- Force Stop
- 保存され
- ストーリー
- 簡単な
- 強く
- 詰め物
- そのような
- 十分な
- 提案する
- サポート
- SVG
- システム
- 取る
- 取得
- 仕事
- テクノロジー
- テスト
- テスト
- アプリ環境に合わせて
- したがって、
- 三番
- 数千
- 介して
- ティックトック
- 時間
- 時間がかかる
- ヒント
- 役職
- 〜へ
- トークン
- top
- 完全に
- 遷移
- トランスペアレント
- ターニング
- さえずり
- 下
- ユニーク
- 珍しいです
- URL
- us
- つかいます
- ユーザー
- users
- 利用された
- 休暇
- ボールト
- ベンダー
- バーモント
- 犠牲者
- 違反
- 極めて重要な
- 警告
- よく見る
- 方法
- ウェブ
- ウェブサイト
- ウィークス
- 周知
- この試験は
- かどうか
- which
- while
- 誰
- 意志
- 以内
- 無し
- 言葉
- 作品
- 世界
- 価値
- でしょう
- 書き込み
- 間違った
- 年
- 年
- あなたの
- あなた自身
- ゼファーネット