Na het nieuws van een enorme inbreuk op de servers van Google die resulteerde in een vermeend 5 miljoen e-mailadressen die werden gehackt, suggereerden verschillende websites dat lezers zouden moeten nagaan of ze slachtoffer waren geweest door hun e-mailadressen in te voeren in "controlehulpmiddelen" - websites die kunnen bepalen of een e-mailadres zich in een lijst met gehackte inloggegevens bevindt.
Het probleem is dat sommige van deze controletools niet zo legitiem waren als de websites die ernaar linken, misschien gehoopt hadden ...
5 miljoen e-mailadressen: de waarheid
Toen gemeld als een massale lek van 5 miljoen gebruikersnamen en wachtwoorden van Gmail-accounts, bleek al snel dat het verhaal, nou ja, alleen dat: een verhaal was.
Toen Google het iets later verklaarde, bleek dat minder dan 2% van de combinatie gebruikersnaam / wachtwoord correct was en dat hun eigen inlogbeveiligingstools de meerderheid daarvan zouden hebben gevangen.
Ze hebben ook verduidelijkt dat de referenties niet zijn gehackt van hun eigen servers, maar van andere websites:
Het is belangrijk op te merken dat in dit geval en in andere gevallen de gelekte gebruikersnamen en wachtwoorden niet het gevolg waren van een schending van Google-systemen. Vaak worden deze referenties verkregen door een combinatie van andere bronnen.
Als u bijvoorbeeld dezelfde gebruikersnaam en hetzelfde wachtwoord op websites gebruikt en een van die websites wordt gehackt, kunnen uw inloggegevens worden gebruikt om u bij de anderen aan te melden.
Dus, een Gmail-account dat werd opgepikt in een vorige inbreuk - een groot profiel of anderszins - zou een van die in de datadump van inloggegevens in handen van de 'hackers' kunnen zijn geweest. In wezen is informatie die mogelijk al online is geweest in een of andere vorm, Gmail-accounts gekweld uit verschillende bronnen.
Maar hoe is dit verhaal zo snel mainstream geworden? Waarschijnlijk met de hulp van een groot, rond getal van 5 miljoen, en de slimme tekenreeks van de hackers die de accountwachtwoorden op een Russisch Bitcoin-forum hebben gepost. Voer een online controle-tool in die bevestigt of uw eigen e-mailaccount zich in de dump bevindt en u hebt een groot nieuwsverhaal.
Natuurlijk lijkt het erop dat isleaked.com niet de website is die mensen dachten dat het was.
Hoe een Fake gehackte Email Account Checker werkt
Het controleren van een e-mailadres tegen een database (mogelijk SQL, Access of zelfs een tekstbestand Dus wat is een database eigenlijk? [MakeUseOf Explains] Dus wat is een database eigenlijk? [MakeUseOf Explains] Voor een programmeur of een technologie-liefhebber, het concept van een database is iets dat echt als vanzelfsprekend kan worden beschouwd, maar voor veel mensen is het concept van een database zelf een beetje vreemd .... Lees meer) van gehackte e-mailaccounts is relatief eenvoudig. Gecombineerd met een eenvoudig te downloaden script zou zo'n website zo'n 30 minuten kunnen worden opgezet.
Troy Hunt heeft ondertussen een veel betere aanpak. Daarom zou je zijn site moeten gebruiken om te controleren op het lekken van je referenties wanneer je een account hack leest of hoort.
Zoals uitgelegd op zijn blog, heeft Hunt "Have I Been Pwned?" Gebouwd, een legitieme website (Hunt is een Microsoft MVP voor ontwikkelaarsbeveiliging), ontworpen voor gemiddelde gebruikers om hun e-mailadres in te voeren en na te gaan of ze al dan niet zijn gehackt. Met gegevens die zijn verzonden naar sites zoals Pastebin.com, wordt zelfs aangegeven welke schending verantwoordelijk is voor de aanwezigheid van uw e-mailaccount in de database.
Op zoek naar een legitieme gehoste e-mailaccountcontrole?
Wanneer de resultaten worden weergegeven, geeft de site de naam weer van de website waaruit uw accountgegevens zijn gelekt. Hopelijk zou die site u persoonlijk hebben gemaild of een aankondiging hebben gedaan.
(Natuurlijk, als u zich zorgen maakt dat uw e-mailaccount is gehackt, moet u uw wachtwoord toch wijzigen.) Vergeet niet om het veilig en gedenkwaardig te maken 6 Tips voor het maken van een onbreekbaar wachtwoord dat u kunt onthouden 6 Tips voor het maken van een onbreekbaar wachtwoord dat u Kan onthouden Als uw wachtwoorden niet uniek en onbreekbaar zijn, kunt u net zo goed de voordeur openen en de overvallers uitnodigen voor de lunch Lees meer.)
Zoals je kunt zien in de bovenstaande afbeelding, was mijn e-mailaccount een van de vele die werden teruggevonden in de massale Adobe-schending van 2013. Je moet de informatie die Hunt's site biedt gebruiken om onmiddellijk te handelen, hoewel je weet dat zelfs als je wachtwoord is gewijzigd, uw e-mailadres blijft op de site.
Als het praktisch is, is het misschien ook de moeite waard om het e-mailadres te wijzigen dat u gebruikt voor uw online accounts.
Due Diligence mag geen overbodig verleden zijn
Een essentieel element van de journalistiek is due diligence; het controleren van feiten. Het simpelweg uitspugen van persberichten is niet genoeg. Elke schrijver, of het nu gaat om het uitgeven van content voor $ 1 per 1000 woorden of in loondienst een topnaam heeft in het publiceren, kan dat doen.
Helaas op het World Wide Web, gebeurt het niet genoeg.
Een paar minuten na het controleren van feiten zou hebben aangetoond dat de 5 miljoen adressen beweren een verzinsel was. Zoals we destijds meldden, waren de adressen geprikkeld door een verzameling van vorige lekken. Gmail-wachtwoorden Lek Online, Microsoft laat Windows Phone vallen en Meer ... [Tech News Digest] Gmail-wachtwoorden Lekken Online, Microsoft laat Windows Phone vallen, en meer ... [Tech News Digest] Ook negatieve recensies, Deezer in de VS, Google Pyramids, de NES 3DS en een verhelderende Rube Goldberg-machine. Lees verder . De Russische hackers konden een lijst samenvoegen in plaats van de beveiliging van Google te schenden.
Van bijzonder wantrouwen was ondertussen de site die door veel websites wordt aanbevolen om e-mails te controleren, isleaked.com . Merkwaardig geregistreerd slechts twee dagen vóór het lek, in Rusland, was het plotselinge bestaan ervan enorm toevallig of gepland.
Zoals ik altijd zeg, zijn er geen toevalligheden in online beveiliging.
Wat is immers een betere manier om de lijst met adressen die u beweert te hebben gehackt te bevestigen dan om de accounteigenaren te laten verifiëren of ze deze nog steeds gebruiken of niet? Het is de modus operandi van spammers - dode adressen zijn waardeloos, daarom vragen veel spam-e-mails u om te reageren. Uw antwoord wordt geregistreerd en het adres bewaard.
De lek email checker isleaked.com zou gemakkelijk een meer geavanceerde aanpak kunnen zijn. Terwijl ze beweren:
Wij verzamelen uw e-mails, URL's / IP-adressen, toegangslogboeken en resultaten niet. Of we doen niets schadelijk met uw apparaat tijdens de test!
... er is weinig reden om de site te vertrouwen. Troy Hunt, die een reputatie hoog te houden, legt uit hoe zijn site werkt, dus het is logisch om het te gebruiken.
Het vonnis: niet reageren zonder de feiten
Wat we hieruit kunnen leren, is dat niemand moet reageren op claims van datalekken en hacks zonder de volledige feiten te bezitten. Er zijn gewoon te veel variabelen om rekening mee te houden.
Met de hack-claims van Gmail lijkt het een veilige veronderstelling dat de vermeende hackers gewoon hun verzameling adressen hebben gecontroleerd, vermoedelijk gebruikt in verschillende spam-campagnes.
Sommige waren echt, anderen waren al lang verstreken.
De beste website om te controleren of uw e-mail is gehackt en zijn weg heeft gevonden op een site zoals Pastebin.com is haveibeenpwned.com.
Ironisch genoeg, voor zover het de vijf miljoen Gmail-adressen betrof die zogenaamd door Google waren gehackt, was het de technologiepers die echt op de voorgrond stond.
Rob Hyrons via Shutterstock