La notte scorsa un hacker anonimo ha affermato di essere in possesso di 7 milioni di password agli account Dropbox. Sebbene tale affermazione fosse probabilmente falsa, dimostra il modo sempre più comune utilizzato dagli hacker per accedere alle tue password.
L'hacker ha pubblicato circa 400 nomi utente e password sul sito di note anonime Pastebin in una serie di 'teaser' per l'elenco principale. Alcuni utenti Reddit sono stati in grado di accedere con successo a Dropbox utilizzando le informazioni pubblicate prima che l'azienda disattivasse tutte le password trapelate.
Ma Dropbox si è affrettato a mettere in dubbio le affermazioni , negando che fosse stato violato e sostenendo che molti dei nomi utente e delle password non erano nemmeno correlati agli account Dropbox.
Allora da dove vengono le password? Dopotutto, hanno funzionato, per un po'.
quanti anni ha robert shapiro
La fonte più probabile delle informazioni è un sito di terze parti con scarsa sicurezza. Gli hacker sanno che la maggior parte degli utenti di Internet riutilizza le proprie password, quindi spesso prendono di mira app più piccole realizzate da sviluppatori dilettanti. Questi bersagli facili hanno una scarsa sicurezza, quindi nomi utente, password o file possono essere archiviati in modo che gli hacker possano facilmente rubarli.
Il recente hack di Snapchat , che ha visto quasi 100.000 foto e video privati pubblicati online, è successo perché uno sviluppatore amatoriale non aveva impostato in modo sicuro il suo sito web. In un post sulla pagina Facebook di Snapsaved , il fondatore anonimo del sito spiega che un server Apache mal configurato ha reso i file vulnerabili agli hacker.
quanto vale la lance bass
Gli hacker non hanno più bisogno di cercare di prendere di mira i giganti della tecnologia. Perché preoccuparsi di tentare di hackerare i server di Google, Apple o Facebook quando puoi semplicemente sfruttare un sito Web mal costruito per ottenere le stesse informazioni?
Ora stiamo vedendo gli hacker utilizzare un nuovo approccio. Invece di passare mesi a trovare vulnerabilità in siti di grandi dimensioni, riutilizzano le informazioni di accesso rubate da app amatoriali di terze parti. È probabile che le informazioni funzionino per diversi siti, quindi la compilazione di queste cache di dati insieme può creare rapidamente un elenco di milioni di password.
Nel mese di settembre, Gli hacker russi hanno pubblicato un elenco di 5 milioni di password a una varietà di diversi provider di posta elettronica, incluso Gmail. Non si trattava di una nuova perdita, ma di una raccolta di perdite di password precedenti compilate insieme per sembrare nuove. Certo, molti degli account di posta elettronica erano stati chiusi, ma le informazioni potevano ancora essere scaricate e utilizzate dagli hacker per entrare in altri account.
Allora perché gli hacker riutilizzano le vecchie informazioni? Raramente ci sono prove che utilizzino effettivamente le password per accedere ai siti. Invece, sembra che pubblichino semplicemente le informazioni online. O almeno, pubblicano alcune delle informazioni online. Come accennato in precedenza, gli hacker trapelano raccolte parziali di password come 'teaser'. Questo è spesso accompagnato da una richiesta di donazioni in Bitcoin.
Possiamo utilizzare la natura pubblica degli indirizzi Bitcoin per vedere quanto guadagnano gli hacker pubblicando password online. Spesso è meno di quanto si aspettano di ricevere. L'hacker che ha condiviso la raccolta di password Dropbox ricevuto solo 8 centesimi . Allo stesso modo, OriginalGuy, il poster anonimo del forum dietro la prima ondata di foto di celebrità di iCloud hackerate, ha espresso sgomento per il piccolo rivolo di donazioni che è venuto il suo modo, osservando:
Certo, ho ricevuto $ 120 con il mio indirizzo Bitcoin, ma se consideri quanto tempo è stato speso per acquisire questa roba (non sono l'hacker, solo un collezionista) e i soldi (ho pagato molto anche tramite Bitcoin per essere certo set quando questa roba veniva scambiata privatamente venerdì/sabato) non mi sono davvero avvicinato a quello che speravo.
Stiamo vedendo sempre più password trapelare online. Gli sviluppatori dilettanti non stanno aumentando la sicurezza delle password e le perdite esistenti continuano a riemergere. Sebbene le informazioni rese pubbliche siano spesso obsolete di diversi anni (molte delle e-mail inviate insieme alle password di Dropbox sono state disattivate nel 2012), è ancora utile per gli hacker che compilano grandi elenchi di indirizzi e-mail e password da utilizzare in attacchi contro altri siti .
E, nel caso in cui non sia chiaro, anche questa è colpa tua: se usi sempre le stesse password con app diverse, gli hacker non hanno bisogno di entrare nei server di Apple o Facebook per trovarle. Identificano semplicemente le app più piccole con la sicurezza della password più debole.
patrimonio netto di robin roberts 2016
--Questo storia è apparso per la prima volta su Business Insider.
