Reklame

Efter nyheden om et stort brud på Googles servere, der resulterede i, at en påstået 5 millioner e-mail-adresser blev hacket, antydede forskellige websteder, at læserne skulle kontroller, om de var blevet ofre ved at indtaste deres e-mail-adresser i “kontrolværktøjer” - websteder, der kan afgøre, om en e-mail-adresse er på en liste over hacket legitimationsoplysninger.

Problemet er, at nogle af disse kontrolværktøjer ikke var så legitime, som de websteder, der linker til dem, måske havde håbet ...

5 millioner e-mail-adresser: Sandheden

Det blev rapporteret på det tidspunkt som en massiv lækage på 5 millioner brugernavne og adgangskoder til Gmail-kontoen, og det viste sig snart, at historien var, vel, netop det: en historie.

Forklarer det lidt senere, Google afslørede, at mindre end 2% af kombinationerne af brugernavn / adgangskode var nøjagtige, og at deres egne login-sikkerhedsværktøjer ville have fanget størstedelen af ​​disse.

Muo-mail-kontrollør-fidus-dollar

De præciserede også, at legitimationsoplysningerne ikke blev hacket fra deres egne servere, men fra andre websteder:

instagram viewer

Det er vigtigt at bemærke, at i dette tilfælde og i andre var de lækkede brugernavne og adgangskoder ikke et resultat af et brud på Google-systemer. Ofte opnås disse legitimationsoplysninger gennem en kombination af andre kilder.

Hvis du for eksempel genbruger det samme brugernavn og adgangskode på tværs af websteder, og et af disse websteder bliver hacket, kan dine legitimationsoplysninger bruges til at logge ind på de andre.

Så en Gmail-konto, der blev hentet i et tidligere overtrædelse - høj profil eller på anden måde - kunne have været en af ​​dem i datadumpen med legitimationsoplysninger i hænderne på "hackerne". I det væsentlige oplysninger, der muligvis allerede har været online i en eller anden form, Gmail-konti krybbet fra flere kilder.

Men hvordan gik denne historie mainstream så hurtigt? Sandsynligvis ved hjælp af et stort, rundt antal som 5 millioner, og den smarte snoreudtrækning af hackere, der placerede kontoadgangskoder på et russisk Bitcoin-forum. Kast et online kontrolværktøj, der bekræfter, om din egen e-mail-konto er i dump, og du har en stor nyhed.

Selvfølgelig ser det sandsynligvis ud isleaked.com er ikke det websted, folk troede, det var.

Sådan fungerer en falsk hacket e-mail-kontokontrol

Kontrol af en e-mail-adresse mod en database (som kan være SQL, Access eller endda en tekstfil Så hvad er en database, alligevel? [MakeUseOf Explains]For en programmør eller en teknologientusiast er begrebet en database noget, der virkelig kan tages for givet. For mange mennesker er konceptet med en database i sig selv lidt udenlandsk ... Læs mere ) af hackede e-mail-konti er relativt ligetil. Kombineret med et let downloadet script kan et sådant websted konfigureres på 30 minutter eller deromkring.

Troy Hunt har i mellemtiden en meget bedre fremgangsmåde, hvorfor du skal bruge hans websted til at kontrollere, om dine legitimationsoplysninger lækker, hver gang du læser eller hører om en kontohack.

Muo-mail-kontrollør-pwned

Som forklaret på hans blog, Hunt har bygget Er jeg blevet pwned?, et legitimt websted (Hunt er en Microsoft MVP for Developer Security) designet til gennemsnitlige brugere til at indtaste deres e-mail-adresse og finde ud af, om de er blevet hacket eller ej. Brug af data indsendt til websteder som Pastebin.com, fortæller den endda, hvilken overtrædelse der er ansvarlig for din e-mail-kontos tilstedeværelse i dens database.

Leder du efter en legitim hacket e-mail-kontokontrol?

Når resultaterne vises, viser webstedet navnet på det websted, som dine kontooplysninger blev lækket fra. Forhåbentlig ville dette websted have sendt dig privat eller sendt en meddelelse.

(Skulle du være bekymret for, at din e-mail-konto er blevet hacket, skal du selvfølgelig ændre din adgangskode alligevel. Husk at gør det sikkert og mindeværdigt 6 tip til oprettelse af et ikke-brytbart kodeord, som du kan huskeHvis dine adgangskoder ikke er unikke og uknuselige, kan du lige så godt åbne hoveddøren og invitere røverne ind til frokost. Læs mere .)

Muo-mail-checker-scam-ohnoes

Som du kan se på billedet ovenfor, var min e-mail-konto en af ​​de mange, der blev hentet i det massive Adobe-brud i 2013. Du skal bruge de oplysninger, Hunts websted giver, til at handle straks, men vær opmærksom på, at selv når din adgangskode er ændret, forbliver din e-mail-adresse på webstedet.

Hvis det er praktisk, kan det også være værd at overveje at ændre den e-mail-adresse, du bruger med dine online-konti.

Korrekt omhu bør ikke være noget af fortiden

Et vigtigt element i journalistik er due diligence; kontrol af fakta. Det er ikke nok at genoprette pressemeddelelser. Enhver forfatter, uanset om det kurerer indhold til $ 1 pr. 1000 ord eller lønnet som et øverste navn i udgivelsen, kan gøre det.

Desværre på World Wide Web sker det ikke nok.

Et par minutters faktakontrol ville have vist, at de 5 millioner adresser, der hævdes, var en fabrikation. Som vi rapporterede på det tidspunkt, adresserne var blevet krybbet fra en samling af tidligere lækager Gmail-adgangskoder lækker online, Microsoft slipper Windows Phone og mere... [Tech News Digest]Også negative anmeldelser, Deezer i USA, Google Pyramider, NES 3DS og en lysende Rube Goldberg-maskine. Læs mere . De russiske hackere kunne sortere en liste snarere end at krænke Googles sikkerhed.

Muo-mail-kontrollør-fidus-isleaked

Af særlig mistanke blev webstedet i mellemtiden anbefalet af mange websteder til at kontrollere e-mails, isleaked.com. Mærkeligt registreret kun to dage før lækagen i Rusland var dens pludselige eksistens enten enormt heldig eller planlagt.

Som jeg altid siger, er der ingen tilfældigheder inden for online sikkerhed.

Hvad er trods alt, hvilken bedre måde at bekræfte listen over adresser, du hævder at have hacket, end at få kontoejere til at kontrollere, om de stadig bruger dem eller ej? Det er modus for spammere - døde adresser er værdiløse, hvorfor mange spam-e-mails beder dig om at svare. Dit svar logges, og adressen bevares.

Lækemailcheck isleaked.com kunne let være en mere sofistikeret tilgang. Mens de hævder:

Vi samler ikke dine e-mails, webadresser / IP-adresser, adgangslogger eller tjekker resultater. Enten gør vi ikke noget skadeligt med din enhed under testen!

... der er lidt grund til at stole på webstedet. Troy Hunt, der har et ry for at opretholde, forklarer, hvordan hans websted fungerer, så det giver mening at bruge det.

Dommen: Reager ikke uden de faktiske omstændigheder

Det, vi kan lære af dette, er, at ingen skal handle påstander om brud på data og hacks uden at besidde de fulde kendsgerninger. Der er simpelthen for mange variabler til at tage højde for.

Med Gmail-hack-kravene ser det ud til at være en sikker antagelse om, at de påståede hackere simpelthen verificerede deres samling af adresser, formentlig brugt i forskellige spam-kampagner.

Nogle var ægte, andre var længe udløbet.

Det bedste websted til at kontrollere, om din e-mail er blevet hacket og fundet vej til et websted som Pastebin.com er haveibeenpwned.com.

Ironisk nok for så vidt angår de 5 millioner Gmail-adresser, der angiveligt blev hacket fra Google, var det teknologipressen, der virkelig blev pwned.

Rob Hyrons via Shutterstock

Christian Cawley er viceaditor for sikkerhed, Linux, DIY, programmering og teknisk forklaret. Han producerer også The Really Useful Podcast og har lang erfaring med support til desktop og software. Christian bidrager til Linux Format-magasinet og er en Raspberry Pi-tinkerer, Lego-elsker og retro-spil-fan.