Hva Dropbox Hack kan lære deg om tilstanden til websikkerhet

I den siste uken hadde Dropbox gjort overskrifter over en hack som så e-postadressene og passordene til 68 millioner Dropbox-kontoer kompromittert . For enhver Dropbox-bruker er dette selvsagt et problem, spesielt hvis du lagrer noe i Dropbox, enten det er personlig eller for arbeid.

Dine bilder, dokumenter, data osv. Kan nås uten din kunnskap ved å bruke e-postadressen din og passordet som er tapt i den aktuelle hacken. Den gode nyheten er at det ikke har vært noen rapporter om noe skadelig som kommer ut av Dropbox-hacket, så langt. Men det betyr ikke at det ikke er noe å bekymre seg for.

Om Dropbox hack

Først av alt, la oss få dette ut av veien: Dropbox-hacket skjedde ikke bare i forrige uke. Mer enn 68 millioner e-postadresser og passord blir stjålet i hacket, ja, men hakken selv skjedde 4 år siden, tilbake i 2012.

Snarere enn å forestille seg en Hollywood hacker scene (hvorav mange fikk hacking veldig galt), kom hacken til å skyldes menneskelig feil .

Hackere hadde brukt brukernavn og passord fra et annet datautbrudd for å logge på Dropbox-kontoer. En av disse kontoene tilhørte en Dropbox-ansatt, som hadde brukt det samme passordet for både bruddstedet og deres Dropbox-konto.

Tilfeldigvis hadde den samme medarbeider en mappe full av dokumenter som inneholder e-postadressene til 68.680.741 Dropbox-kontoer samt hashed-passord . Spill, sett og match.

1. Dropbox var ikke alene; LinkedIn ble også hacket

Tilbake i mai 2016 annonserte LinkedIn noe som ligner på forrige ukes Dropbox-hack. De påtalte LinkedIn-brukere å endre passordene sine "som et spørsmål om god praksis" etter å ha blitt klar over tyveriet av et sett med e-post og passord som hadde skjedd - du gjettet det - i 2012.

Hvis du klikket på den linken i forrige avsnitt, finner du ingen omtale av hvor stort et tap av data dette var, selv om følelsen av haster er tydelig med hyppige oppdateringer til den aktuelle siden.

Det som skjedde var at over 117 millioner LinkedIn-kontoer ble påvirket, selv om det er mulig at det faktiske tallet kunne være så høyt som 167 millioner .

2. Hvorfor resirkulerer de hakkede passordene nå?

Datasettene for både Dropbox og LinkedIn blir angivelig handlet i den mørke weben nå (eller de var ledende opptil en uke siden).

LinkedIns sett var i utgangspunktet på salg for $ 2100, mens Dropbox er på litt over $ 1200 - begge. Verdien av disse datasettene reduserer jo lenger de er der ute, som en gang de fleste brukerne har endret passordene, er datasettene av liten til ingen verdi.

Men hvorfor nå? Fire år etter hacken? Det nærmeste jeg fikk et svar kommer fra Troy Hunt (han blir nevnt ganske mye i dette innlegget, og ganske mye overalt) som skriver mye om cybersikkerhet. Jeg skal bare sitere hva han har å si:

Uunngåelig er det en katalysator, men det kan være mange forskjellige ting; angriperen endelig bestemmer seg for å tjene penger på det, de selv er målrettet og mister dataene eller til slutt handler det for noe annet av verdi.

3. Hack og data dumper skjer oftere enn alle bryr seg om å innrømme

Mens jeg leser om denne Dropbox-hacken, kom jeg over denne databasekatalogen, Vigilante.pw et nettsted som inneholder informasjon om brudd på data. På dette punktet inneholder den fulle databasen informasjon om 1470 brudd på over 2 milliarder kompromitterte kontoer .

Den største av partiet er Myspace hack i 2013. Den hack påvirket mer enn 350 millioner kontoer .

I samme katalog er Dropboxs 68 millioner oppføringer den nest største i historien om kjente datafunkter, så langt; LinkedIn er den femte største, men hvis nummeret ble korrigert til 167 millioner i stedet, ville det gjøre det til nest største datadumpen i katalogen.

(Merk at datoene for datafunkene for Dropbox og LinkedIn er oppført som 2012, i stedet for 2016.)

Det er imidlertid verdt ingenting at den beryktede Ashley Madison hack så vel som den spillskiftende RockYou hacken ikke var inkludert i katalogen. Så det som virkelig skjer der ute, er større enn det du ser på nettstedet.

haribeenpwned.com er også en annen kilde du kan se på alvorlighetsgraden av hack og datafordeler som plager online tjenester og verktøy .

Nettstedet drives av Troy Hunt, en sikkerhetsekspert som regelmessig skriver om brudd på data og sikkerhetsproblemer, inkludert om denne siste Dropbox-hacken. Merk: Siden kommer også med et gratis varslingsverktøy som vil varsle deg om noen av e-postene dine er blitt kompromittert.

Du vil kunne finne en liste over bønnede nettsteder, hvor dataene er konsolidert til nettstedet. Her er listen over de 10 beste bruddene (bare se på alle tallene). Finn hele listen her.

Fortsatt med meg? Det blir mye verre.

4. Ved hvert datautbrudd blir hackere bedre på å spre passord

Dette innlegget på Ars Technica av Jeremi Gosney, et profesjonelt passordskraper, er verdt å lese. Kort sagt, at jo flere databrudd oppstår, jo lettere blir det for hackere å knekke fremtidige passord.

The RockYou hack skjedde tilbake i 2009: 32 millioner passord i ren tekst ble lekket og passordskraper fikk et innblikk i hvordan brukerne oppretter og bruker passord.

Det var hakken som viste bevis på hvor lite trodde vi gir for å velge passordene våre, for eksempel 123456, ikke bare Passord . Men enda viktigere:

The RockYou bryter revolusjonert passordsprengning.

Å få 32 millioner unhashed, usaltede, ubeskyttede passord opped spillet for profesjonelle passord crackers fordi selv om de ikke var de som utførte data brudd, er de nå mer forberedt enn noensinne å knekke passord hashes når en datadump finner sted. Passordene hentet fra RockYou hacket oppdaterte sin ordlistesangrepsliste med de faktiske passordene folk bruker i det virkelige liv, noe som bidrar til betydelig, raskere og mer effektiv sprekkdannelse.

Etterfølgende data brudd ville komme: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - og med noen maskinvareoppgradering, var det mulig for forfatteren (etter å ha slått seg sammen med noen få industrigrupper) å slå opp til 173, 7 millioner LinkedIn passord på bare 6 dager (det er 98% av hele datasettet). Så mye for sikkerhet, va?

5. Hashing passord - hjelper de?

Det er en tendens til et nettsted som har opplevd et datatbrudd for å hente ordene hashed passord, saltede passord, hashalgoritmer og andre lignende termer, som om å fortelle deg at passordene dine er kryptert, og at din konto er trygg ( phew ). Vi vil…

Hvis du vil forstå hva hashing og salting er, hvordan de fungerer og hvordan de blir sprakk, er dette en fin artikkel å lese opp.

For å forenkle konseptene går det her:

• Hash-algoritmer endrer et passord for å beskytte det. En algoritme forklarer passordet slik at det ikke er lett gjenkjennelig av en tredjepart. Men hash kan bli sprakk med ordbokangrep (som er der punkt 6 kommer inn) og brute force attacks.
• Salting legger til en tilfeldig streng til et passord før det er hashed. På denne måten, selv om det samme passordet har blitt kalt to ganger, vil resultatet bli annerledes på grunn av saltet.

Kommer tilbake til Dropbox hack, er halvparten av passordene under SHA-1 hash (salter ikke inkludert, noe som gjør dem umulige å sprekke) mens den andre halvparten er under bcrypt hash.

Denne blandingen indikerer en overgang fra SHA-1 til bcrypt, som var et skritt foran sin tid, da SHA1 er midt i å bli faset ut innen 2017, for å bli erstattet av SHA2 eller SHA3.

Når det er sagt, er det viktig å forstå at "hashing er en forsikring" som bare bremser hackere og kjeks. Selv om disse ekstra beskyttelsen gjør passordene "vanskelig å dekode", betyr det ikke at de er umulige å sprekke .

I beste fall kjøper hakking og salting bare brukerne tid, nok til å endre passordene sine for å forhindre overtakelse av kontoen sin.

6. Ettervirkningen av hack (data brudd)

(1) Hacks kan være relativt gunstig som Dropbox hack, eller har ødeleggende resultater som Ashley Madison data brudd.

I sistnevnte ble 25 GB data inkludert faktiske hjemadresser, kredittkorttransaksjoner og søkelogger for brukerne lekket. På grunn av innholdet på nettstedet, var det mange tilfeller av offentlig shaming, utpressing, utpressing, skilsmisse og selvmord.

Hacket avslørte også etableringen av falske kontoer og bruk av chatbots for å lokke betalende kunder for å registrere seg for en konto.

(2) Hacks viser også vår likegyldighet ved valg av passord - det vil si til et brudd har oppstått.

Vi har etablert dette når vi diskuterer RockYou-brudd i # 4. Hvis du har mange viktige data som flyter rundt på nettet, er det en god idé å bruke et passordadministrasjonsprogram . Og aktiver 2-trinns autentisering . Og aldri gjenbruk passord som har vært i et brudd på data . Og sørg for at andre du jobber med, vedtar de samme sikkerhetsforanstaltninger .

Hvis du vil ta det et skritt videre, må du registrere deg for et varslingsverktøy som varsler deg når e-posten din er involvert i et brudd på data.

(3) Hacks viser et nettsteds likegyldighet for å beskytte brukerpassord og data.

Når det gjelder Dropbox vs LinkedIn, kan du se at Dropbox tok bedre og mer beregnede tiltak for å minimere skade fra et data brudd som dette.

Dropbox brukte bedre hashing og salting metoder, sendte e-post til brukere som ba dem om å endre passordene sine så snart som mulig, tilbyr tofaktorautentisering og Universal 2nd Factor (U2F) som bruker en sikkerhetsnøkkel, og gjort endringer i personalepolitikken (Dropbox-ansatte nå bruk 1Password for å administrere passordene sine, passord for bedriftskonto kan ikke lenger gjenbrukes, og alle interne systemer er på 2FA).

For en sammenbrudd av hva LinkedIn gjorde, er denne artikkelen kanskje en mer grundig og egnet lesning.

Wrapping Up

Å være ærlig, har lært om alt dette bare fra å studere Dropbox hack vært en øyeåpning og skremmende opplevelse. Vi, den generelle befolkningen, undervurderer sterkt behovet for unike og sterke passord selv etter å ha blitt fortalt flere ganger for aldri å dele eller gjenta passord, eller bruk ordlisteord i dem.

Hvis dataene dine ble påvirket av Dropbox-hack, ta de nødvendige forholdsregler for å sikre dine personlige opplysninger. Sett litt innsats i passordene dine eller få en passordbehandling . Oh, og tape over ditt bærbare kamera eller webkamera når det ikke er i bruk. Du kan aldri være for forsiktig.

(Cover bilde via GigaOm)