Etter nyheten om et stort brudd på Googles tjenere som resulterte i at en påstand om at 5 millioner e-postadresser ble hacket, foreslo ulike nettsteder at leserne skulle sjekke om de hadde blitt ofre ved å skrive inn e-postadressene i "kontrollverktøy" - nettsteder som kan bestemme om en e-postadresse er i en liste over hackede legitimasjonsbeskrivelser.
Problemet er at noen av disse kontrollverktøyene ikke var like legitime som nettsteder som knytter til dem, kanskje håpet ...
5 millioner e-postadresser: sannheten
Rapportert på det tidspunktet som en massiv lekkasje på 5 millioner Gmail-brukernavn og passord, viste det seg snart at historien var bra, bare det: en historie.
Forklarer det litt senere, avslørte Google at mindre enn 2% av brukernavn / passordkombinasjonene var nøyaktige, og at deres egne innloggingssikkerhetsverktøy ville ha tatt flesteparten av dem.
De forklarte også at legitimasjonene ikke ble hacket fra egne servere, men fra andre nettsteder:
Det er viktig å merke seg at i dette tilfellet og i andre, var de lekkede brukernavnene og passordene ikke et resultat av brudd på Googles systemer. Ofte oppnås disse legitimasjonene gjennom en kombinasjon av andre kilder.
Hvis du for eksempel bruker samme brukernavn og passord på tvers av nettsteder, og en av disse nettstedene blir hacket, kan legitimasjonene dine brukes til å logge på de andre.
Så, en Gmail-konto som ble hentet opp i et tidligere brudd - høy profil eller på annen måte - kunne ha vært en av dem i datadumpen av legitimasjon i hendene på "hackere". I hovedsak er informasjon som kanskje allerede har vært online på en eller annen måte, Gmail-kontoer cribbed fra flere kilder.
Men hvordan gikk denne historien så raskt? Sannsynligvis ved hjelp av et stort, rundt nummer som 5 millioner, og den smarte strengen som drar av hackerne som postet kontopassordene på et russisk Bitcoin-forum. Kast et elektronisk kontrollverktøy som bekrefter om din egen e-postkonto er i dump, og du har en stor nyhetshistorie.
Selvfølgelig virker det sannsynlig at isleaked.com ikke er nettsiden folk trodde det var.
Slik fungerer en falsk hacket e-postkonto-sjekker
Kontrollere en e-postadresse mot en database (som kan være SQL, Access eller til og med en tekstfil Så hva er en database, uansett? [MakeUseOf Forklarer] Så hva er en database, uansett? [MakeUseOf Forklarer] For en programmerer eller en teknologientusiast, er begrepet en database noe som virkelig kan tas for gitt. Men for mange er begrepet en database selv litt utenlandsk .... Les mer) av hackede e-postkontoer er relativt grei. Kombinert med et lett nedlastet skript, kan et slikt nettsted bli satt opp på 30 minutter eller så.
Troy Hunt, i mellomtiden, har en mye bedre tilnærming, og derfor bør du bruke nettstedet hans for å sjekke at du lekker på legitimasjonene dine når du leser eller hører om en konto hack.
Som forklart på bloggen hans, har Hunt bygget, har jeg blitt pwned? Et legitimt nettsted (Hunt er en Microsoft MVP for Developer Security) designet for gjennomsnittlige brukere å skrive inn e-postadressen deres og finne ut om de har blitt hacket. Ved å bruke data sendt til nettsteder som Pastebin.com, forteller det deg selv hvilket brudd som er ansvarlig for e-postkontoens tilstedeværelse i databasen.
Leter du etter en legitim hacket epostkonto?
Når resultatene vises, viser nettstedet navnet på nettstedet som dine kontoopplysninger var lekket fra. Forhåpentligvis ville nettstedet ha sendt deg privat eller gjort en melding.
(Selvfølgelig bør du være bekymret for at e-postkontoen din er blitt hacket, bør du endre passordet uansett. Husk å gjøre det sikkert og minneverdig 6 Tips for å lage et ubrytelig passord som du kan huske 6 tips for å lage et ubrytelig passord som du Kan huske Hvis passordene dine ikke er unike og ubrydelige, kan du også åpne frontdekselet og invitere røvere til lunsj. Les mer.)
Som du kan se fra bildet ovenfor, var e-postkontoen min en av de mange som ble hentet i den massive Adobe-bruken av 2013. Du bør bruke informasjonen Hunt's site gir deg mulighet til å handle umiddelbart, men vær oppmerksom på at selv når passordet ditt er endret, Din e-postadresse vil forbli på nettstedet.
Hvis det er praktisk, kan du også endre e-postadressen du bruker med dine online-kontoer.
Due Diligence bør ikke være en ting fra fortiden
Et viktig element i journalistikken er due diligence; kontroll av fakta. Det er ikke nok å gjenopprette pressemeldinger. Enhver forfatter, om det koster $ 1 per 1000 ord eller lønner seg til et toppnavn i publisering, kan gjøre det.
Dessverre på World Wide Web, skjer det ikke nok.
Noen få minutter med faktisk kontroll ville ha vist at de 5 millioner adressene hevdet var en fabrikasjon. Som vi rapporterte på det tidspunktet, hadde adressene blitt cribbed fra en samling av tidligere lekkasjer. Gmail Passwords Leak Online, Microsoft Drops Windows Phone, og Mer ... [Tech News Digest] Gmail Passwords Leak Online, Microsoft Drops Windows Phone, Og Mer ... [Tech News Digest] Også negative anmeldelser, Deezer i USA, Google Pyramids, NES 3DS og en lysende Rube Goldberg-maskin. Les mer . De russiske hackerne var i stand til å samle en liste i stedet for å bryte Googles sikkerhet.
Av spesiell mistanke var i mellomtiden nettstedet anbefalt av mange nettsteder for å sjekke e-post, isleaked.com . Merkelig registrert bare to dager før lekkasjen, i Russland, var den plutselige eksistensen enten enormt fortrolig eller planlagt.
Som jeg alltid sier, er det ingen tilfeldigheter i online-sikkerhet.
Tross alt, hvilken bedre måte å bekrefte listen over adresser du hevder å ha hacket enn å få kontoeiere til å kontrollere om de fortsatt bruker dem eller ikke? Det er modus operandi for spammere - døde adresser er verdiløse, og det er derfor mange spam-e-postmeldinger ber deg om å svare. Ditt svar er logget og adressen beholdes.
Lekkasjekontrolleren isleaked.com kan lett være en mer sofistikert tilnærming. Mens de hevder:
Vi samler ikke inn e-postadresser, nettadresser / IP-adresser, tilgangslogger eller kontroller resultater. Enten gjør vi ikke noe skadelig med enheten din under testen!
... det er liten grunn til å stole på nettstedet. Troy Hunt, som har et rykte å opprettholde, forklarer hvordan nettstedet fungerer, så det er fornuftig å bruke det.
Bedømmelsen: Ikke reager uten fakta
Det vi kan lære av dette er at ingen bør handle på krav om brudd på data og hack uten å ha de fulle fakta. Det er bare for mange variabler å ta hensyn til.
Med Gmail-hackkravene virker det som en sikker antagelse at de påståtte hackere ganske enkelt kontrollerte adressesamlingen deres, antagelig brukt i ulike spamkampanjer.
Noen var ekte, andre lenge utløpt.
Den beste nettsiden for å sjekke om e-posten din har blitt hacket og funnet veien til et nettsted som Pastebin.com, er hasibeenpwned.com.
Ironisk nok, så langt som de 5 millioner Gmail-adressene som tilsynelatende ble hacket fra Google, var det teknologipressen som virkelig ble pwned.
Rob Hyrons via Shutterstock