Hack Dropbox có thể dạy gì cho bạn về tình trạng bảo mật web
Trong tuần vừa qua, Dropbox đã trở thành tiêu đề cho một vụ hack mà thấy địa chỉ email và mật khẩu của 68 triệu tài khoản Dropbox bị xâm phạm. Đối với bất kỳ người dùng Dropbox nào, đây tất nhiên là một điểm đáng quan tâm, đặc biệt nếu bạn lưu trữ bất cứ thứ gì trong Dropbox, có thể là cá nhân hoặc cho công việc.
Ảnh, tài liệu, dữ liệu của bạn có thể được truy cập mà bạn không biết khi sử dụng địa chỉ email và mật khẩu bị mất trong vụ hack cụ thể đó. Tin tốt là không có bất kỳ báo cáo nào về bất cứ điều gì độc hại phát sinh từ vụ hack Dropbox, cho đến nay. Tuy nhiên, điều đó không có nghĩa là không có gì phải lo lắng.
Giới thiệu về vụ hack Dropbox
Trước hết, hãy giải quyết vấn đề này: vụ hack Dropbox không xảy ra vào tuần trước. Hơn 68 triệu địa chỉ email và mật khẩu bị đánh cắp trong vụ hack, vâng, nhưng bản thân vụ hack xảy ra 4 năm trước, trở lại vào năm 2012.
Thay vì tưởng tượng ra một cảnh hacker ở Hollywood (nhiều trong số đó đã bị hack một cách khủng khiếp), vụ hack đã xảy ra do lỗi của con người.
Tin tặc đã sử dụng tên người dùng và mật khẩu từ một vi phạm dữ liệu khác để đăng nhập vào tài khoản Dropbox. Một trong những tài khoản này thuộc về một nhân viên Dropbox, người đã sử dụng cùng một mật khẩu cho cả trang web bị vi phạm và cho tài khoản Dropbox của họ.
Thật trùng hợp, cùng một nhân viên đã có một thư mục đầy tài liệu chứa địa chỉ email của 68.680.741 tài khoản Dropbox cũng như mật khẩu băm. Trò chơi, thiết lập và kết hợp.
1. Dropbox không đơn độc; LinkedIn cũng bị hack tương tự
Trở lại vào tháng 5 năm 2016, LinkedIn đã công bố một cái gì đó tương tự như hack Dropbox tuần trước. Họ kêu gọi người dùng LinkedIn thay đổi mật khẩu của họ "như một vấn đề thực tiễn tốt nhất" sau khi nhận thức được hành vi trộm cắp một bộ email và mật khẩu đã xảy ra - bạn đoán nó - vào năm 2012.
Nếu bạn đã nhấp vào liên kết đó trong đoạn trước, bạn sẽ không thấy đề cập đến việc mất dữ liệu lớn như thế nào cảm giác cấp bách là rõ ràng với cập nhật thường xuyên đến trang cụ thể đó.
Điều gì đã xảy ra là hơn 117 triệu Tài khoản LinkedIn đã bị ảnh hưởng, mặc dù có thể con số thực tế có thể lên tới 167 triệu.
2. Tại sao các mật khẩu bị hack lại xuất hiện?
Các bộ dữ liệu cho cả Dropbox và LinkedIn được báo cáo đang được giao dịch trong web tối (hoặc họ đã, dẫn đến một tuần trước).
Bộ của LinkedIn ban đầu được bán với giá 2.200 đô la trong khi Dropbox sẽ có giá hơn 1.200 đô la một chút - cả The giá trị của các bộ dữ liệu này giảm dần khi chúng ở ngoài đó lâu hơn, vì một khi phần lớn người dùng đã thay đổi mật khẩu, các bộ dữ liệu rất ít hoặc không có giá trị.
Nhưng tại sao bây giờ? Bốn năm sau vụ hack? Câu trả lời gần nhất tôi nhận được là từ Troy Hunt (anh ấy được nhắc đến khá nhiều trong bài đăng này, và khá nhiều nơi khác), người viết rất nhiều về an ninh mạng. Tôi sẽ chỉ trích dẫn những gì anh ấy nói:
Chắc chắn có một chất xúc tác, nhưng nó có thể là nhiều thứ khác nhau; Kẻ tấn công cuối cùng đã quyết định kiếm tiền từ chính nó, chính chúng bị nhắm mục tiêu và mất dữ liệu hoặc cuối cùng đánh đổi nó để lấy thứ khác có giá trị.
3. Hacks và dữ liệu kết xuất xảy ra thường xuyên hơn mọi người quan tâm thừa nhận
Trong khi đọc về vụ hack Dropbox này, tôi đã xem qua thư mục cơ sở dữ liệu này, Vigilante.pw một trang web có thông tin về các vi phạm dữ liệu. Tại thời điểm viết bài này, cơ sở dữ liệu đầy đủ chứa thông tin của 1470 vi phạm lên tới hơn 2 tỷ tài khoản bị xâm nhập.
Lớn nhất trong số rất nhiều là vụ hack Myspace năm 2013. Vụ hack đó ảnh hưởng nhiều hơn 350 triệu tài khoản.
Trong cùng một thư mục, cho đến nay, 68 triệu mục của Dropbox là lớn thứ chín trong lịch sử các bãi chứa dữ liệu đã biết; LinkedIn là lớn thứ năm mặc dù nếu con số được sửa thành 167 triệu thay vào đó, điều đó sẽ khiến nó trở thành bãi chứa dữ liệu lớn thứ hai trong thư mục.
(Lưu ý rằng ngày của các bãi chứa dữ liệu cho Dropbox và LinkedIn được liệt kê là năm 2012, thay vì năm 2016.)
Tuy nhiên, không có gì đáng nói khi vụ hack Ashley Madison khét tiếng cũng như vụ hack RockYou thay đổi trò chơi là không phải Bao gồm trong thư mục. Vì vậy, những gì thực sự xảy ra ngoài đó to hơn hơn những gì bạn thấy trên trang web.
haveibeenpwned.com cũng là một nguồn khác mà bạn có thể sử dụng để xem mức độ nghiêm trọng của các vụ hack và bãi chứa dữ liệu đang gây khó chịu cho các dịch vụ và công cụ trực tuyến.
Trang web được điều hành bởi Troy Hunt, một chuyên gia bảo mật, người thường xuyên viết về các vi phạm dữ liệu và các vấn đề bảo mật bao gồm về vụ hack Dropbox gần đây. Lưu ý: trang web cũng đi kèm với một công cụ thông báo miễn phí sẽ thông báo cho bạn nếu bất kỳ email nào của bạn bị xâm phạm.
Bạn sẽ có thể tìm thấy một danh sách các trang web cầm đồ, dữ liệu đã được hợp nhất vào trang web. Dưới đây là danh sách 10 vi phạm hàng đầu (chỉ cần nhìn vào tất cả những con số đó). Tìm danh sách đầy đủ ở đây.
Vẫn còn với tôi? Nó trở nên tồi tệ hơn nhiều.
4. Với mỗi lần vi phạm dữ liệu, tin tặc trở nên tốt hơn trong việc bẻ khóa mật khẩu
Bài này trên Ars Technica bởi Jeremi Gosney, một công cụ bẻ khóa mật khẩu chuyên nghiệp đáng để đọc. Tóm lại là Càng nhiều vi phạm dữ liệu xảy ra, tin tặc càng dễ bị bẻ khóa Tương lai mật khẩu.
Vụ hack RockYou đã xảy ra vào năm 2009: 32 triệu mật khẩu trong bản rõ đã bị rò rỉ và những kẻ bẻ khóa mật khẩu đã nhìn sâu vào cách người dùng tạo và sử dụng mật khẩu.
Đó là vụ hack cho thấy bằng chứng về chúng tôi nghĩ ít đến mức nào khi chọn mật khẩu ví dụ. 123456, Anh yêu em, Mật khẩu. Nhưng quan trọng hơn:
RockYou vi phạm cách mạng bẻ khóa mật khẩu.
Nhận 32 triệu mật khẩu chưa được xóa, không được bảo vệ, không được bảo vệ nâng cấp trò chơi cho những kẻ phá mật khẩu chuyên nghiệp bởi vì mặc dù họ không phải là người thực hiện vi phạm dữ liệu, nhưng giờ họ đã sẵn sàng hơn để bẻ khóa băm mật khẩu một khi kết xuất dữ liệu xảy ra. Mật khẩu thu được từ vụ hack RockYou đã cập nhật danh sách tấn công từ điển của họ với mật khẩu thực tế mọi người sử dụng trong cuộc sống thực, góp phần vào việc bẻ khóa đáng kể, nhanh hơn và hiệu quả hơn.
Vi phạm dữ liệu sau đó sẽ đến: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - và với nâng cấp phần cứng, tác giả có thể (sau khi hợp tác với một vài nhóm có liên quan đến ngành) để giải quyết 173,7 triệu mật khẩu LinkedIn chỉ trong một 6 ngày (đó là 98% của tập dữ liệu đầy đủ). Quá nhiều cho an ninh, huh?
5. Băm mật khẩu - họ có giúp?
Có một xu hướng cho một trang web đã trải qua một sự vi phạm dữ liệu để đưa ra các từ mật khẩu băm, mật khẩu muối, thuật toán băm và các điều khoản tương tự khác, như thể để cho bạn biết rằng mật khẩu của bạn là được mã hóa, và ergo tài khoản của bạn an toàn (phew). Tốt…
Nếu bạn muốn hiểu những gì băm và muối là, cách họ làm việc và cách họ bị bẻ khóa, đây là một bài viết tốt để đọc lên.
Có nguy cơ đơn giản hóa các khái niệm, ở đây đi:
- Thuật toán băm thay đổi mật khẩu để bảo vệ nó Một thuật toán che khuất mật khẩu để bên thứ ba không dễ nhận ra. Tuy nhiên, băm có thể bị bẻ khóa bằng các cuộc tấn công từ điển (đó là điểm 6 xuất hiện) và các cuộc tấn công vũ phu.
- Ướp muối thêm một chuỗi ngẫu nhiên vào mật khẩu trước khi nó được băm. Bằng cách này, ngay cả khi cùng một mật khẩu được băm hai lần, kết quả sẽ khác nhau do muối.
Quay trở lại hack Dropbox, một nửa mật khẩu nằm dưới hàm băm SHA-1 (không bao gồm muối, khiến chúng không thể bị bẻ khóa) trong khi nửa còn lại nằm dưới hàm bcrypt.
Hỗn hợp này cho thấy sự chuyển đổi từ SHA-1 sang bcrypt, đó là một bước đi trước thời đại, vì SHA1 đang trong giai đoạn bị loại bỏ vào năm 2017, được thay thế bằng SHA2 hoặc SHA3.
Điều đó nói rằng, điều quan trọng là phải hiểu rằng "băm là một chính sách bảo hiểm" chỉ làm chậm các tin tặc và cracker. Ngay cả khi những bảo vệ được thêm vào này làm cho mật khẩu "khó giải mã", điều đó không có nghĩa là họ không thể bẻ khóa.
Tốt nhất, băm và muối mua thời gian của người dùng, đủ để thay đổi mật khẩu của họ để ngăn chặn việc chiếm đoạt tài khoản của họ.
6. Hậu quả của các vụ hack (vi phạm dữ liệu)
(1) Các vụ hack có thể tương đối lành tính như vụ hack Dropbox hoặc có kết quả tàn khốc như vi phạm dữ liệu của Ashley Madison.
Sau đó, 25GB dữ liệu bao gồm địa chỉ nhà thực tế, giao dịch thẻ tín dụng và lịch sử tìm kiếm của người dùng của họ đã bị rò rỉ. Do tính chất của trang web, đã có nhiều trường hợp xấu hổ công khai, tống tiền, tống tiền, ly dị và thậm chí tự tử.
Vụ hack cũng tiết lộ việc tạo tài khoản giả và sử dụng chatbot để thu hút khách hàng trả tiền để đăng ký tài khoản.
(2) Hacks cũng thể hiện sự thờ ơ của chúng tôi trong việc chọn mật khẩu - đó là cho đến khi một vi phạm đã xảy ra.
Chúng tôi đã thiết lập điều này khi thảo luận về vi phạm RockYou ở # 4. Nếu bạn có nhiều dữ liệu quan trọng trôi nổi trên Web, thì đó là một ý tưởng hay sử dụng ứng dụng quản lý mật khẩu. Và cho phép xác thực hai bước. Và không bao giờ sử dụng lại mật khẩu đã vi phạm dữ liệu. Và chắc chắn rằng những người khác bạn làm việc cùng áp dụng các biện pháp an toàn tương tự.
Nếu bạn muốn tiến thêm một bước, hãy đăng ký một công cụ thông báo để thông báo cho bạn khi email của bạn có liên quan đến vi phạm dữ liệu.
(3) Hacks hiển thị một trang web thờ ơ với việc bảo vệ mật khẩu người dùng và dữ liệu.
Trong trường hợp Dropbox vs LinkedIn, bạn có thể thấy Dropbox đó thực hiện tốt hơn, các biện pháp tính toán hơn để giảm thiểu thiệt hại từ một vi phạm dữ liệu như thế này.
Dropbox đã sử dụng các phương pháp băm và muối tốt hơn, gửi email cho người dùng nhắc họ thay đổi mật khẩu càng sớm càng tốt, cung cấp xác thực hai yếu tố và Yếu tố thứ 2 phổ biến (U2F) sử dụng khóa bảo mật và thay đổi chính sách nhân viên (nhân viên Dropbox ngay bây giờ sử dụng 1Password để quản lý mật khẩu của họ, mật khẩu tài khoản công ty không còn có thể được sử dụng lại và tất cả các hệ thống nội bộ đều có trên 2FA).
Đối với một sự cố về những gì LinkedIn đã làm, bài viết này có lẽ là một cách đọc kỹ lưỡng và phù hợp hơn.
Kết thúc
Thẳng thắn mà nói, học về tất cả những điều này chỉ từ việc nghiên cứu hack Dropbox đã là một trải nghiệm mở mắt và đáng sợ. Chúng tôi, dân số nói chung, cực kỳ đánh giá thấp nhu cầu về mật khẩu độc đáo và mạnh mẽ ngay cả sau khi được nói nhiều lần không bao giờ chia sẻ hoặc lặp lại mật khẩu hoặc sử dụng các từ trong từ điển trong đó.
Nếu dữ liệu của bạn bị ảnh hưởng bởi vụ hack Dropbox, hãy thực hiện các biện pháp phòng ngừa cần thiết để bảo mật thông tin cá nhân của bạn. Đặt một số nỗ lực vào mật khẩu của bạn hoặc là có được một người quản lý mật khẩu. Ồ, và băng qua máy ảnh máy tính xách tay hoặc webcam của bạn khi nó không được sử dụng. Bạn không bao giờ có thể quá cẩn thận.
(Ảnh bìa qua GigaOm)