A seguito della notizia di una vasta violazione dei server di Google che ha causato il blocco di presunti 5 milioni di indirizzi email, vari siti Web suggerivano ai lettori di verificare se fossero stati vittime inserendo i loro indirizzi email in "strumenti di verifica" - siti Web che possono determinare se un indirizzo email è in un elenco di credenziali compromesse.
Il problema è che alcuni di questi strumenti di controllo non erano così legittimi come i siti web che li collegavano avrebbero potuto sperare ...
5 milioni di indirizzi email: la verità
All'epoca, come una perdita enorme di 5 milioni di account e nomi utente di account Gmail, è emerso che la storia era, beh, proprio questo: una storia.
Spiegandolo un po 'più tardi, Google ha rivelato che meno del 2% delle combinazioni nome utente / password erano accurate e che i propri strumenti di sicurezza di accesso avrebbero catturato la maggior parte di quelli.
Hanno inoltre chiarito che le credenziali non sono state compromesse dai propri server, ma da altri siti Web:
È importante notare che in questo caso e in altri, i nomi utente e le password trapelate non erano il risultato di una violazione dei sistemi di Google. Spesso, queste credenziali sono ottenute attraverso una combinazione di altre fonti.
Ad esempio, se riutilizzi lo stesso nome utente e password in tutti i siti web e uno di questi siti viene violato, le tue credenziali potrebbero essere utilizzate per accedere agli altri.
Quindi, un account Gmail raccolto in una precedente violazione - alto profilo o altro - avrebbe potuto essere uno di quelli nel dump di dati delle credenziali nelle mani degli "hacker". In sostanza, informazioni che potrebbero essere già state online in un modo o nell'altro, account Gmail criptati da diverse fonti.
Ma come è andata a finire così velocemente questa storia? Probabilmente con l'aiuto di un grosso numero tondo come 5 milioni e l'ingegnosa estrazione di stringhe degli hacker che hanno pubblicato le password degli account su un forum russo di Bitcoin. Getta uno strumento di verifica online che conferma se il tuo account e-mail è nel dump e hai una grande notizia.
Certo, sembra probabile che isleaked.com non sia il sito web che la gente pensava fosse.
Come funziona un gestore di account di posta elettronica con un falso hacker
Controllo di un indirizzo email su un database (che potrebbe essere SQL, Access o anche un file di testo Quindi Che cos'è un database, comunque? [MakeUseOf Explains] Quindi cos'è un database, comunque? [MakeUseOf Explains] Per un programmatore o un appassionato di tecnologia il concetto di un database è qualcosa che può davvero essere dato per scontato, ma per molte persone il concetto stesso di database è un po 'estraneo .... Ulteriori informazioni) di account e-mail compromessi è relativamente semplice. Combinato con uno script facilmente scaricabile, un sito Web di questo tipo potrebbe essere configurato in 30 minuti circa.
Troy Hunt, nel frattempo, ha un approccio molto migliore, ed è per questo che dovresti usare il suo sito per verificare la fuoriuscita delle tue credenziali ogni volta che leggi o senti un account mod.
Come spiegato nel suo blog, Hunt ha creato Have I Been Pwned ?, un sito web legittimo (Hunt è un Microsoft MVP per Developer Security) progettato per gli utenti medi di digitare il proprio indirizzo email e scoprire se sono stati violati o meno. Usando i dati inviati a siti come Pastebin.com, ti dice anche quale violazione è responsabile della presenza del tuo account di posta elettronica nel suo database.
Alla ricerca di un account di account e-mail Hacked legittimo?
Quando vengono visualizzati i risultati, il sito visualizza il nome del sito Web da cui sono stati divulgati i dettagli del tuo account. Spero che quel sito ti abbia inviato via email in privato o fatto un annuncio.
(Naturalmente, se dovessi preoccuparti che il tuo account di posta elettronica sia stato violato, dovresti comunque cambiare la tua password. Ricorda di renderlo sicuro e memorabile 6 Suggerimenti per creare una password infrangibile che puoi ricordare 6 Suggerimenti per creare una password infrangibile che tu Può ricordare Se le tue password non sono uniche e indissolubili, potresti anche aprire la porta principale e invitare i ladri a pranzo.
Come puoi vedere dall'immagine sopra, il mio account di posta elettronica è stato uno dei tanti recuperati nella massiccia violazione di Adobe del 2013. Dovresti utilizzare le informazioni che il sito di Hunt fornisce per agire immediatamente, anche se tieni presente che anche quando la password è stata cambiata, il tuo indirizzo email rimarrà sul sito.
Se possibile, potrebbe anche essere utile prendere in considerazione la modifica dell'indirizzo e-mail che utilizzi con i tuoi account online.
La dovuta diligenza non dovrebbe essere una cosa del passato
Un elemento vitale del giornalismo è la dovuta diligenza; il controllo dei fatti. Basta rigurgitare i comunicati stampa non è abbastanza. Qualsiasi scrittore, sia sfornare contenuti per $ 1 per 1000 parole o retribuiti per un top name in pubblicazione può farlo.
Sfortunatamente sul World Wide Web, non succede abbastanza.
Qualche minuto di controllo dei fatti avrebbe dimostrato che i 5 milioni di richieste di informazioni erano una fabbricazione. Come riportato all'epoca, gli indirizzi erano stati criptati da una raccolta di perdite precedenti. Gmail Passwords Leak Online, Microsoft lascia Windows Phone e altro ancora ... [Tech News Digest] Password Gmail Perdita online, Microsoft elimina Windows Phone e altro ... [Tech News Digest] Inoltre, recensioni negative, Deezer negli Stati Uniti, Google Pyramids, NES 3DS e un'illuminante macchina Rube Goldberg. Leggi di più . Gli hacker russi sono stati in grado di raccogliere un elenco piuttosto che violare la sicurezza di Google.
Di particolare sospetto, nel frattempo, era il sito consigliato da molti siti Web per controllare le e-mail, isleaked.com . Curiosamente registrato solo due giorni prima della fuga, in Russia, la sua improvvisa esistenza era o fortuita o pianificata.
Come dico sempre, non ci sono coincidenze nella sicurezza online.
Dopo tutto, quale modo migliore per confermare l'elenco degli indirizzi che si sta affermando di avere violato piuttosto che ottenere i proprietari dell'account per verificare se li stanno ancora utilizzando o meno? È il modus operandi degli spammer: gli indirizzi non validi sono inutili, motivo per cui molte e-mail di spam ti chiedono di rispondere. La tua risposta è registrata e l'indirizzo mantenuto.
Il controllore di perdita delle email isleaked.com potrebbe facilmente essere un approccio più sofisticato. Mentre affermano:
Non raccogliamo le e-mail, gli indirizzi URL / IP, i log di accesso né i risultati dei controlli. O non facciamo nulla di dannoso con il tuo dispositivo durante il test!
... ci sono poche ragioni per fidarsi del sito. Troy Hunt, che ha una reputazione da difendere, spiega come funziona il suo sito, quindi ha senso utilizzarlo.
Il verdetto: non reagire senza i fatti
Quello che possiamo imparare da questo è che nessuno dovrebbe agire su richieste di violazioni dei dati e hack senza possedere tutti i fatti. Ci sono semplicemente troppe variabili da tenere in considerazione.
Con le rivendicazioni di Gmail, sembra un assunto sicuro che i presunti hacker stavano semplicemente verificando la loro raccolta di indirizzi, presumibilmente utilizzati in varie campagne di spam.
Alcuni erano genuini, altri a lungo scaduti.
Il miglior sito Web per verificare se la tua email è stata hackerata e trovata su un sito come Pastebin.com è haveibeenpwned.com.
Ironia della sorte, per quanto riguarda i 5 milioni di indirizzi Gmail che sono stati presumibilmente violato da Google, è stata la stampa tecnologica che è stata veramente pasticciata.
Rob Hyrons tramite Shutterstock