קרדיט: דיוויד מרפי
עוקב אחר פרצות נתונים פופולריהאם נפלתיסוגר על 10 מיליארד חשבונות שנפגעו. רק תחשוב על זה לרגע:עֶשֶׂר. מיליארד. חשבונות. כדי לשים את הנתון הזה בפרספקטיבה, לכדור הארץ ישבסביבות 7.7 מיליארד אנשים על זה. זה יהיה כאילו לכל אדם על פני כדור הארץ יש חשבון פייסבוק שנפגע - ועוד כמה.
הסתכלתי על המספרים מהאם I Been RSS של Pwnedפיד, שלדעתי אפילו חסר כמה הכרזות על הפרות אחרונות, וכבר הגענו ל-71+ מיליון חשבונות שנפרצו לשנה. הפרצה הגדולה ביותר שהאתר הוסיף לרישומיו ב-2020 עד כה הייתה אסון של חברת השיווק הישראלית Straffic, שחשפה מסד נתונים המכיל 140GB של נתונים אישיים (כולל 49 מיליון כתובות מייל ייחודיות, כמו גם שמות משתמשים שונים, מספרי טלפון, וכתובות).
במילים אחרות, עכשיו זה טוב כמו זמןהירשם לחלוטין ל- Have I Been Pwned. אבל בוא נעבור על היסודות, למקרה שלא תשתכנע.
היכרות עם Have I Been Pwned
יוצר האתר, מנהל אזורי מיקרוסופט ו-infosec mavenטרוי האנט, מציע שירות שניתן להשתמש בו בחינם לחלוטין. כל מה שהשירות הזה דורש הוא כתובת הדוא"ל שלך; כאשר כתובת הדוא"ל האמורה מופיעה באחת מפרצות הנתונים הרבות המתרחשות במהלך השנה, אתה מקבל הודעה על כך. הודעה זו משכנעת אותך להגביר את האבטחה שלך בשירות זה, ואם התעצלת, מתריע בפניך על העובדה שהסיסמה היחידה שאתה משתף בשירותים רבים נמצאת כעת בסכנה. עליך לשנות את זה כבר עכשיו (ונא להפסיק להשתמש באותה סיסמה עבור אתרים או שירותים מרובים).
אל תסמוך על חברות שיודיעו לך על פרצות מידע בזמן
החלק הטוב ביותר ב- Have I Been Pwned, כפי שסיקרנו בגרסה קודמת של מאמר זה, הוא שהאתר לפעמים מנצח חברות עם גילויים. כאשר ל-CafePress הייתה פרצת נתונים ענקית בפברואר 2019, הייתם יודעים שהושפעתם מ-Have I Been Pwned, לא מ-CaféPress. ואפילו כשקפה פרסעשהלהודיע למשתמשים על הפרה, זה לא הגיע: זה רק אמר למשתמשים שהם צריכים לשנות את הסיסמאות שלהם מבלי לציין את הסיבה לבקשה האקראית לכאורה הזו.
קרדיט: דיוויד מרפי
הרשמה לשירות ההתראות של Have I Been Pwnedקל. אבל אתה אפילו לא צריך להשתמש בטופס הזה אם אתה לא רוצה. כלים כמוצג פיירפוקסו1 סיסמהכבר שלב את מסד הנתונים של Have I Been Pwned, אז אתה אמור לקבל התראות גם אם הסיסמאות השמורות שלך מעורבות בפריצה. (אני מעדיף דוא"ל מפחיד, שמבטיח שאשים לב להתראה, אבל זה רק אני.)
חלק משירותי אבטחה לא משתמשים ב- Have I Been Pwned, וזה בסדר
ולמרות שיש הרבה כלים אחרים שאינם משתמשים במידע של Have I been Pwned, הם עדיין שימושיים אם אתה מחפש לדעת אם החשבונות שלך נמצאים בסיכון. של גוגלהרחבה לבדיקת סיסמאותעולה לראש, שאולי אפילו לא תזדקק לו אם תשמור את הסיסמאות שלךדרך הדפדפן עצמו.
קרדיט: דיוויד מרפי
יש גםpwdquery, שמתגרה באילו סיסמאות שלךבהחלט צריך לשנותבמקום פשוט להודיע לך שכל שירות הקשור לכתובת הדוא"ל שלך נמצא בסיכון. אם מנהל הסיסמאות שלך תומך בהם, אולי אפילו תוכללמצוא תוסףשבודק את החשבונות שלך גם מול מסד הנתונים של Have I Been Pwned.
הימנע מהרמאים המחפשים לטרוף את הפחדים שלך מאבטחת נתונים
יש גם מספר אתרים ותוספים בעלי נושאים דומים שתרצו להימנע מהם.Ghostproject.frהיא דוגמה אחת כזו. אמנם אתה בהחלט יכול להשתמש בו כדי לראות אילו סיסמאות דלפות עשויות להיות משויכות לכתובת הדוא"ל שלך, האתר גם משכנע אותך לשלם להם כסף כדי לפתוח את הסיסמה המלאה עצמה. במילים אחרות, זה בעצם לומר ל-scriptkiddies, "תן לנו מזומן וכל אימייל שאתה רוצה, ואנחנו נגיד לך את הסיסמה של האדם הזה."
קרדיט: דיוויד מרפי
יש להודות, כל אדם הגון באמצע הדרך צריך פשוט להיות מסוגל למצוא מספר הפרותסָבִירמכיל מספיק פרטים כדי לאפשר להם להתחבר כמוך במקום כלשהו, בהנחה שאתה עדיין משתמש באותם אישורים כמו שהיית בהפרה. וזו, מעל הכל, הסיבה לכך ששירות כמו Have I Been Pwned הוא כל כך חשוב - הוא נותן לך את הסיכוי הטוב ביותר להקדים אסון נתונים, בהתחשב בכמה קל למישהו להכות אותך עד הסוף. Lifehacker לא יכול להמליץ מספיק על שירות זה, בהתחשב במידת הערך של כלי שהוא בנוסף אליוכל האַחֵרשיטותאתה צריך להשתמשכדי להישאר בטוחיםבאינטרנט.
מאמר זה פורסם במקור בשנת 2019 על ידי דייוויד מרפי ועודכן ב-9 באפריל 2020 על ידי דייוויד מרפי. עיבדנו מחדש את המאמר כולו כדי לשקף מידע רלוונטי יותר על אבטחת החשבון והפרות האבטחה האחרונות. זה כולל שינוי ושינוי של צילומי מסך, עריכת הכותרת ועריכת גוף הטקסט.
