TheNextWeb - Ogromno bazo podatkov z več kot 560 milijoni uporabniških imen in gesel so raziskovalci raziskovalnega centra za kibernetsko varnost Kromtech Security Research Center (KSRC) našli na spletu. V bazi so tudi podatki uporabnikov LinkedIna, Dropboxa in Tumblrja. Pri KSRC so uspeli pridobiti že večino podatkov v bazi, ki so jih povezali s spletno storitvijo Have I Been Pwned. Ta uporabnikom omogoča, da z vnosom naslova elektronske pošte ali uporabniškega imena različnih spletnih platform in rešitev preverijo, ali so v bazi tudi njihovi podatki.
Kdo je ustvaril bazo še ni jasno. Raziskovalci KSRC menijo, da so vir podatkov mnogi hekerski napadi, ki so se zgodili v zadnjih letih. Vendar avtor baze ni bil neposredno povezan z napadi, ampak je le zbiral podatke, ki so jih ukradli hekerji.
Kako pa naj sploh vem, da je ta zbirka (oz. spletna stran) "dobronamerna"? Kaj če samo ustvarja obsežno zbirko username oz. e-mail naslovov (za spam, veljavne username za storitve kjer potem ...), uporabniku pa "random" vrne nek rezultat (ki ga več ali manj tako ne more preveriti - potrditi ali ovreči)?
Zanimivo..mi je napisal da sem bil pwnd ...in od teh omenjenih strani je bila ena leta 2016 ..neka splošna lista ki ni vidt da bi bila vezana na kakršnokoli stran. Geslo sem spremenil za gmail za vsak slučaj. Sam mislm da je to bolj za te razne račune na teh straneh za katere mi je tak vseeno.
Ni panike. Meni pokaže, da moj glavni mail ni pwnan, pri tistem, ki ga že dolga leta uporabljam za igranje online iger pa so mi ukradli geslo za Dungeons & Dragons Online.
Po moje je najbolj pametno, da za različne stvari uporabljaš različne email naslove. Vsekakor se s tistim emailom, ki ga uporabljaš za bančne zadeve in Paypal ne gre prijavljati na razne forume in za igranje iger.
Full paranoia mode. Saj je samo mail naslov, kaj lahko naredijo z njim? Tvoj mail naslov je najbrž videlo že stotine ljudi.
Taka spletna stran verjetno že ima zelo obsežno bazo e-naslovov in uporabniških imen. Kar pa še lahko dobi je to, kateri naslovi in uporabniška imena pripadajo isti osebi (piškotki, IP naslovi). To pa je problem, saj večina nas uporablja več naslovov. Če jim zlikovci ukradejo te podatke (seveda vprašanje če jih načrtno zbirajo), potem lahko ista gesla preizkušajo na vseh tvojih e-naslovih in uporabniških računih!
In verjamem, da je spletna stran postavljena dobronamerno.
Ne vem kaj se sekirate za vase email naslove. Ce ne vpisete vi vasega naslova, bo to storil vas prijatelj. Pac spam gor dol, sej mate anti-spam filtre. Tisto kar bi seveda bilo neumno je, da se moras kao loginat npr. v gmail account in pol od tam kaj dovoliti bla bla...kot razne fejsbuk igre in ostal srot.
> Upam da so "Have I Been Pwned" vredni zaupanja in ne zbirajo elektronskih naslovov za spam. Danes me nič več ne preseneti.
Za zasebnost podatkov je prepozno, tvoj email & drugi podatki se pač nahajajo v hekerskih krogih + javnih krogih. Če želiš, najdi dostop do originalnih baz in skopiraj te maile... Kar ta stran naredi je, da ti pove, v kateri od teh baz se je email pojavil.
Za zaščito zasebnosti ne bo prikazal, če se je tvoj mail pojavil v kakšni "adult website" bazi.
Baze pa ne objavijo. Torej, do baze imajo dostop oni in črni trg. I feel safe now.
Verjetno so jo kupili in vsaj zastonj lahko pogledaš vanjo. Te baze se prodajajo na veliko - Pastebin je poln reklam za prodajo teh baz - vrj tu ni najboljše objavljati teh linkov - tudi haveibeenpwnd ne bodo objavili baz, da se ne zlorabijo še bolj - dovolj je, da lahko pogledaš oz. se naročiš na obvestila, če se kaj čudnega dogaja s tvojimi računi.
Ni panike. Meni pokaže, da moj glavni mail ni pwnan, pri tistem, ki ga že dolga leta uporabljam za igranje online iger pa so mi ukradli geslo za Dungeons & Dragons Online.
Kje si prišel do informacije da gre ravno za Dungeons & Dragons Online?
Full paranoia mode. Saj je samo mail naslov, kaj lahko naredijo z njim? Tvoj mail naslov je najbrž videlo že stotine ljudi.
Taka spletna stran verjetno že ima zelo obsežno bazo e-naslovov in uporabniških imen. Kar pa še lahko dobi je to, kateri naslovi in uporabniška imena pripadajo isti osebi (piškotki, IP naslovi).
Za, za vsak slučaj sem se povezal na spletno storitev preko mobilnih podatkov med vožnjo na avtobusu. V najslabšem primeru imajo moj email. Big deal, v najslabšem primeru bo kakšna spam-pošta več. Vse to itak že filter zmeče v koš.
Opazil sem, da so mi hacknili tumblr in lastfm account. Imel sem druge passworde kot za moj poštni predal tako da sem na varnem. Tudi password za email menjam tam nekje na vsake 2 meseca.
Ni panike. Meni pokaže, da moj glavni mail ni pwnan, pri tistem, ki ga že dolga leta uporabljam za igranje online iger pa so mi ukradli geslo za Dungeons & Dragons Online.
Kje si prišel do informacije da gre ravno za Dungeons & Dragons Online?
Točno ti napiše za vsak breach, kjer je bil notri najden tvoj email. Tukaj je bil pwnan moj igričarski email:
Dungeons & Dragons Online: In April 2013, the interactive video game Dungeons & Dragons Online suffered a data breach that exposed almost 1.6M players' accounts. The data was being actively traded on underground forums and included email addresses, birth dates and password hashes.
Compromised data: Dates of birth, Email addresses, IP addresses, Passwords, Usernames, Website activity
Zato se v račune online iger vedno vpisuje lažne podatke in uporablja zastonjske email račune
Kljub vsemu moraš dandanes imeti res konkretno varnost na lastni infrastrukturi, če hočeš sploh izenačiti z cloud ponudniki, kaj šele preseči.
Je pa tko, vse se konča pri denarju, od cloud ponudnika, ki ti account da zastonj ne pričakovat ne vem kakšne varnosti. Imajo ponavadi plačljive stranke na ločeni bolj zaščiteni infrastrukturi.
Saj niti nima veze, če si na pwned listi... če takoj po vseh (znanih) napadih in na neko periodo menjavaš gesla, potem je čist OK. Tukaj so password managerji kar legit, ker že sami znajo menjat gesla na ogromno mestih + probajo te prisilit v daljša naključno generirana gesla, da se izogneš pouporabi.
Tudi to je res. Lahko pa ti genij kak predlog daš, kako se maksimalno zavarovati in hkrati ne imeti povsod enakih gesel (in nekega svojega algoritma za gesla).
