Wat krijg je als je een tiental Russische criminele hackers oversteekt met 420.000 websites met een SQL-injectiekwetsbaarheid? U krijgt 4, 5 miljard gecompromitteerde gebruikersrecords in handen van die hackers.
Op dinsdag meldde de New York Times dat Hold Security of Milwaukee, Wisconsin een database ontdekte met gestolen gegevens. Alex Holden, Chief Information Security Officer van Hold Security traceerde de bron van de gestolen inloggegevens op een kleine hacking-ring van iets minder dan een dozijn 20-jarige mannen, gevestigd in het zuiden van Centraal-Rusland. Hij noemde de groep "CyberVor".
Holden legde uit dat de "hackingbende" bestond uit een team van jonge mannen, elk met zijn eigen rol - sommige schrijfprogramma's, anderen die werken om de inloggegevens uit de gegevens te halen. De hele outfit werkt als een echte onderneming.
De Russische hackingbende
Volgens Holden is CyberVor in 2011 begonnen als een team van spammers. Het businessplan was toen om gestolen contactinformatie van de zwarte markt te kopen om massale spam-e-mails voor klanten te verzenden. In de loop van de volgende jaren bouwde het team van criminele ondernemers een bot-net op - een enorm netwerk van computers die zijn geïnfecteerd met een virus waarmee ze kunnen worden gebruikt voor het verzenden van spamstralen.
In de loop van de tijd gebruikte het team zijn bot-net om te testen voor welke websites kwetsbaar waren voor een SQL-injectie hackingaanval. Nadat een lijst met websites was samengesteld, ging het team aan de slag met het uitvoeren van de hack op de site en pakte de volledige inhoud van de daar opgeslagen database uit.
Met toegang tot de database kon de groep de 4, 5 miljard records compileren, die in totaal 1, 2 miljard unieke gebruikersnaam en wachtwoordreferenties en 542 miljoen unieke e-mailadressen bleken te bevatten.
Wat dit betekent
Als je denkt dat je ongedeerd kunt gaan van deze specifieke beveiligingsdreiging, denk dan nog eens goed na. Gezien het feit dat er momenteel net geen 3 miljard internetgebruikers in de wereld zijn, betekent een schending van 1, 2 miljard unieke gebruikersnaam en wachtwoordreferenties een recordbrekend succes van de kant van de criminele hackers, en dit betekent ook dat uw geloofsbrieven zeer waarschijnlijk zijn bij risico.
Orla Cox, de directeur van Security Response voor Symantec, vertelde NPR-nieuws dat de veiligste benadering is om aan te nemen dat uw inloggegevens zijn aangetast.
"Ik denk dat alle internetgebruikers moeten veronderstellen dat ze hierdoor zijn beïnvloed. Het is duidelijk dat dit geen opportunisten zijn, het zijn geen hobbyisten. Dit zijn full-time cybercriminelen die dit waarschijnlijk een aantal maanden, misschien zelfs jaren hebben uitgevoerd. "
Hoe weet u of uw inloggegevens zijn aangetast? Helaas doet u dit niet - niet voordat Hold Security zijn online tool publiceert waarmee u kunt testen of uw eigen informatie in de database staat.
Ondertussen profiteert Hold Security van de inbreuk door een reeks services te bouwen die bedoeld zijn om website-eigenaren en internetgebruikers te helpen de dreiging van deze hackersbende te beheren. Die diensten omvatten het volgende:
- Breukmeldingsservice (BNS) - Waarschuwt u als uw site is beïnvloed door deze schending of een andere inbreuk op de beveiliging. Kosten: $ 120 / jaar
- Pen Testing and Audit Services - Inspecteert uw site en vindt eventuele zwakke plekken. Geen prijs vermeld.
- Credentials Integrity Service - waarschuwt u als een van uw websitegebruikers inloggegevens heeft aangetast. Geen prijs vermeld.
- Elektronische identiteitscontroleservice - bedoeld voor personen die willen weten of hun elektronische identiteit kwetsbaar of aangetast is. Pre-registratie is beschikbaar, omdat de service in ontwikkeling is.
Wat je zou moeten doen
Natuurlijk is de goedkoopste manier om een cheque in Hold Security te schrijven om u te vertellen of u bent getroffen, om gewoon al uw wachtwoorden te wijzigen. Hoewel dit misschien vervelend is om te doen, zo vlak na het Heartbleed-fiasco slechts een paar maanden geleden Heartbleed - Wat kunt u doen om veilig te blijven? Heartbleed - Wat kunt u doen om veilig te blijven? Lees Meer, het is echt de enige zekere gok die je hebt om je accounts te beveiligen. Het probleem is natuurlijk dat je dat niet echt kunt doen totdat je weet dat de websites die je gebruikt niet kwetsbaar zijn voor SQL Injection.
Als u wilt bepalen of de websites die u gebruikt om toegang te krijgen tot uw accounts veilig zijn of niet, dan heeft u een manier nodig om te weten of ze veilig zijn tegen SQL Injection-aanvallen - het favoriete wapen van deze specifieke Russische hackersbende.
Gelukkig is het vrij eenvoudig om te controleren of een site kwetsbaar is voor die bepaalde hack. Het enige wat u hoeft te doen is een pagina op de site te vinden die dynamisch vanuit de back-enddatabase wordt geladen. Dit is vrij eenvoudig met een PHP-gebaseerde site door te zoeken naar URL's gestructureerd met de vraag, zoals deze: "http://www.website.com/page.php?id=32"
Een snelle test voor de kwetsbaarheid van SQL Injection is het toevoegen van een enkel aanhalingsteken aan het einde van de regel. Als de webpagina nog steeds goed laadt, is de site beveiligd tegen deze aanval. Als de fout 'SQL-query mislukt' wordt geretourneerd, is de site kwetsbaar en moet u ervan uitgaan dat uw gegevens die daar zijn opgeslagen, zijn aangetast.
Door een ' aan de URL toe te voegen, test u of u extra SQL-parameters kunt toevoegen om een invasiever SQL-commando te activeren.
Als je ontdekt dat de website veilig is, ga je gang en verander je je wachtwoorden daar. Als u ziet dat het nog steeds kwetsbaar is voor een SQL Injection-aanval, vermijd dan uw referenties te wijzigen en neem in plaats daarvan contact op met de eigenaar van de website en informeer hen over de kwetsbaarheid.
Terwijl je bezig bent ...
Terwijl u rondgaat en uw wachtwoorden op alle beveiligde sites wijzigt, kunt u de volgende richtlijnen overwegen.
- Is uw wachtwoord echt uniek en sterk? Bekijk onze vele artikelen met tips voor het genereren van wachtwoorden 7 manieren om wachtwoorden op te maken die zowel veilig als memorabel zijn 7 manieren om wachtwoorden op te maken die zowel veilig als onvergetelijk zijn Een ander wachtwoord voor elke service is een must in de online wereld van vandaag, maar er is een vreselijke zwakte voor willekeurig gegenereerde wachtwoorden: het is onmogelijk om ze allemaal te onthouden. Maar hoe kunt u zich mogelijk herinneren ... Lees meer.
- Gebruik een wachtwoordbeheerder Gebruik een wachtwoordbeheerstrategie om uw leven eenvoudiger te maken Gebruik een strategie voor wachtwoordbeheer om uw leven eenvoudiger te maken Veel van de adviezen over wachtwoorden zijn bijna onmogelijk: gebruik een sterk wachtwoord met cijfers, letters en speciale tekens; verander het regelmatig; bedenk een volledig uniek wachtwoord voor elke account enz. .... Lees meer en zorg ervoor dat uw wachtwoord anders is voor elke afzonderlijke site die u gebruikt. Probeer een wachtwoordgenerator 5 gratis wachtwoordgeneratoren voor bijna onkraakbare wachtwoorden 5 gratis wachtwoordgeneratoren voor bijna onkraakbare wachtwoorden Lees meer voor elke site.
- Ik herhaal: gebruik een uniek wachtwoord voor elke site!
Naast wachtwoordbeheer, is er nog een creatieve aanpak waarmee u daadwerkelijk "terug kunt komen" bij de hackers. Dit houdt in dat je ervoor zorgt dat al je online accounts valse informatie bevatten - nep-adressen, telefoonnummers en e-mailadressen. Op deze manier kun je, wanneer dit soort schendingen gebeurt, er gewoon om lachen, omdat alle persoonlijke contactgegevens - met name de e-mail die meestal wordt weggegooid voor spamdoeleinden - een complete blindganger voor de hacker zijn.
Het is duidelijk dat die aanpak niet zou werken voor een financiële site die meestal een bevestigde identificatie vereist, maar je zou hopen dat financiële websites ver genoeg op de beveiligingscurve staan om meer dan veilig te zijn voor zoiets als een SQL Injection-hack.
In het licht van de omvang en omvang van deze nieuwste aanval, maakt u zich zorgen over uw privégegevens ? Heb je plannen om er mee om te gaan? Deel uw mening in de comments hieronder!
Bron: New York Times
Beeldpunten: onzichtbare man via Shutterstock, kentoh / Shutterstock