Page d'accueil » l'Internet » Ce que Dropbox Hack peut vous apprendre sur l’état de la sécurité Web

    Ce que Dropbox Hack peut vous apprendre sur l’état de la sécurité Web

    Au cours de la semaine écoulée, Dropbox avait fait les gros titres d’un hack qui avait vu la adresses e-mail et mots de passe de 68 millions de comptes Dropbox compromis. Ceci est évidemment un sujet de préoccupation pour tout utilisateur de Dropbox, en particulier si vous stockez quelque chose dans Dropbox, que ce soit personnel ou professionnel..

    Vos photos, documents, données, etc. pourraient être consultés à votre insu en utilisant votre adresse e-mail et votre mot de passe perdus lors de ce piratage particulier. La bonne nouvelle est il n'y a eu aucun rapport de quelque chose de malveillant sortant du hack de Dropbox, jusque là. Cependant, cela ne signifie pas qu'il n'y a rien à craindre.

    À propos du hack Dropbox

    Tout d'abord, réglons cela: le piratage de Dropbox ne s'est pas produit la semaine dernière. Plus de 68 millions d'adresses électroniques et de mots de passe sont volés dans le hack, oui, mais le hack lui-même s'est passé il y a 4 ans, en 2012.

    Plutôt que d’imaginer une scène de hackers à Hollywood (dont beaucoup se sont terriblement trompés), le hack est devenu en raison d'une erreur humaine.

    Les pirates avaient utilisé des noms d'utilisateur et des mots de passe provenant d'une autre violation de données pour se connecter à des comptes Dropbox. Un de ces comptes appartenait à un employé de Dropbox, ayant utilisé le même mot de passe pour le site piraté et pour leur compte Dropbox.

    Par coïncidence, le même employé avait un dossier rempli de documents contenant les adresses électroniques de 68 680 741 comptes Dropbox aussi bien que mots de passe hachés. Jeu, set et match.

    1. Dropbox n'était pas seul; LinkedIn a été piraté de la même manière

    En mai 2016, LinkedIn avait annoncé quelque chose de similaire au piratage Dropbox de la semaine dernière. Ils ont imploré les utilisateurs de LinkedIn de modifier leurs mots de passe "selon les meilleures pratiques" après avoir pris conscience du vol d'un ensemble d'e-mails et de mots de passe qui s'étaient produits - vous l'avez deviné - en 2012.

    Si vous avez cliqué sur ce lien dans le paragraphe précédent, vous ne trouverez aucune mention de l’importance de la perte de données, même si le sentiment d'urgence est évident avec le mises à jour fréquentes à cette page particulière.

    Que s'est-il passé? plus de 117 millions Les comptes LinkedIn ont été affectés, bien qu'il soit possible que le nombre réel pourrait atteindre 167 millions.

    2. Pourquoi les mots de passe piratés refont-ils surface maintenant??

    Les ensembles de données pour Dropbox et LinkedIn seraient être échangé dans le web sombre maintenant (ou ils étaient, menant à il y a une semaine).

    L'ensemble de LinkedIn était initialement en vente au prix de 2 200 $, tandis que celui de Dropbox coûte un peu plus de 1 200 $ - les deux la valeur de ces ensembles de données diminue d'autant plus qu'ils sont là-bas, comme une fois que la plupart des utilisateurs ont changé les mots de passe, les ensembles de données ont peu ou pas de valeur.

    Mais pourquoi maintenant? Quatre ans après le hack? Le plus proche de ma réponse vient de Troy Hunt (il est mentionné assez souvent dans ce billet et un peu partout ailleurs) qui écrit beaucoup sur la cybersécurité. Je vais juste citer ce qu'il a à dire:

    Inévitablement, il y a un catalyseur, mais il pourrait y avoir beaucoup de choses différentes; l'attaquant ayant finalement décidé de le monétiser, il a lui-même été pris pour cible et a perdu les données ou les a finalement échangées contre quelque chose de précieux.

    3. Les hacks et les vidages de données se produisent plus souvent que tout le monde ne veut l'admettre

    En lisant au sujet de ce hack de Dropbox, je suis tombé sur ce répertoire de base de données, Vigilante.pw, un site qui présente des informations sur les violations de données. Au moment de la rédaction de ce document, la base de données complète contient des informations sur 1470 violations correspondant à plus de 2 milliards de comptes compromis.

    Le plus gros du lot est le Myspace Hack en 2013. Ce hack a touché plus de 350 millions de comptes.

    Dans le même répertoire, les 68 millions d'entrées de Dropbox constituent le neuvième plus grand volume de l'historique des vidages de données connus; LinkedIn est le cinquième en importance, mais si le nombre était corrigé à 167 millions, cela en ferait le deuxième plus grand vidage de données de l'annuaire..

    (Notez que les dates des vidages de données pour Dropbox et LinkedIn sont répertoriées comme 2012 au lieu de 2016.)

    Cela ne vaut cependant rien que le triché infâme Ashley Madison ainsi que le bidouillage RockYou révolutionnaire ne pas inclus dans l'annuaire. Alors qu'est-ce qui se passe réellement là-bas est plus gros que ce que vous voyez sur le site.

    haveibeenpwned.com est aussi une autre source que vous pouvez utiliser pour regarder le la gravité des piratages et des vidages de données qui affligent les services et les outils en ligne.

    Le site est géré par Troy Hunt, un expert en sécurité qui écrit régulièrement sur les violations de données et les problèmes de sécurité, y compris sur le récent piratage de Dropbox. Remarque: le site est également fourni avec un outil de notification gratuit qui vous avertit si l'un de vos courriels a été compromis..

    Vous pourrez trouver une liste des sites mis en gage, dont les données ont été consolidées sur le site. Voici sa liste des 10 principaux manquements (il suffit de regarder tous ces chiffres). Retrouvez la liste complète ici.

    Encore avec moi? Ça devient bien pire.

    4. Avec chaque violation de données, les pirates informatiques réussissent mieux à déchiffrer les mots de passe.

    Ce post sur Ars Technica par Jeremi Gosney, un pirate professionnel de mot de passe mérite une lecture. En bref, c'est que plus il y a de violations de données, plus le piratage est facile à pirater futur mots de passe.

    Le piratage RockYou a eu lieu en 2009: 32 millions de mots de passe en texte clair ont été divulgués et les utilisateurs ont découvert comment les utilisateurs créent et utilisent des mots de passe..

    C’est le hack qui a montré la preuve de à quel point nous pensons au choix de nos mots de passe par exemple. 123456, je t'aime, Mot de passe. Mais plus important:

    La violation RockYou a révolutionné la fissuration des mots de passe.

    Obtenir 32 millions de mots de passe non salés, non salés et non protégés amélioré le jeu pour les crackers de mots de passe professionnels car bien qu’ils ne soient pas ceux qui ont commis la violation de données, ils sont maintenant plus prêts que jamais à craquer les mots de passe hachés lorsqu’un vidage de données a lieu. Les mots de passe obtenus à partir de RockYou hack ont ​​mis à jour leur liste d'attaque par dictionnaire avec les mots de passe réels utilisés dans la vie réelle, contribuant ainsi à un cracking important, plus rapide et plus efficace..

    Pertes de données ultérieures viendrait: Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - et avec une mise à niveau matérielle, l’auteur (après s’être associé à quelques équipes pertinentes du secteur) de se séparer de 173,7 millions de mots de passe LinkedIn dans un simple 6 jours (c'est 98% du jeu de données complet). Voilà pour la sécurité, hein?

    5. Hachage des mots de passe - aident-ils?

    Il existe une tendance pour un site qui a subi une violation de données à faire apparaître les mots mots de passe hachés, mots de passe salés, algorithmes de hachage et d’autres termes similaires, comme pour vous dire que vos mots de passe sont crypté, et ergo votre compte est en sécurité (phew). Bien…

    Si vous voulez comprendre quoi hachage et salaison est, comment ils travaillent et comment ils se font craquer, ceci est un bon article à lire.

    Au risque de simplifier les concepts, voici:

    • Algorithmes de hachage change un mot de passe pour le protéger. Un algorithme masque le mot de passe de sorte qu'il ne soit pas facilement reconnaissable par un tiers. Cependant, les attaques par dictionnaire (où le point 6 entre en jeu) et les attaques par force brute peuvent être déchiffrées..
    • Salaison ajoute une chaîne aléatoire à un mot de passe avant qu'il ne soit haché. De cette façon, même si le même mot de passe est haché deux fois, le résultat sera différent en raison du sel.

    Revenir au hack Dropbox, la moitié des mots de passe sont sous le hachage SHA-1 (sels non inclus, ce qui les rend impossible à craquer) tandis que l'autre moitié sont sous le hachage bcrypt.

    Ce mélange indique une transition de SHA-1 à bcrypt, ce qui était un pas en avant de son temps, car SHA1 est en train d'être éliminé d'ici 2017, pour être remplacé par SHA2 ou SHA3.

    Cela dit, il est important de comprendre que "le hachage est une police d’assurance" qui ne fait que ralentir les pirates informatiques et les pirates. Même si cette protection supplémentaire rend les mots de passe "difficiles à décoder", cela ne signifie pas qu'ils sont impossibles à craquer.

    Au mieux, le hachage et le salage juste acheter du temps aux utilisateurs, assez pour changer leurs mots de passe pour empêcher une prise de contrôle de leur compte.

    6. Les conséquences des piratages informatiques (violations de données)

    (1) Les hacks peuvent être relativement bénins comme le hack Dropbox ou avoir des conséquences dévastatrices comme la violation de données Ashley Madison..

    Dans ce dernier cas, une fuite de 25 Go de données, y compris des adresses réelles, des transactions par carte de crédit et de l'historique de recherche de leurs utilisateurs. En raison de la nature du site Web, il y a eu de nombreux cas de honte publique, de chantage, d'extorsion de fonds, de divorces et même de suicides..

    Le piratage a également révélé la création de faux comptes et l'utilisation de chatbots pour attirer les clients payants sur un compte.

    (2) Hacks aussi montrer notre indifférence dans la sélection des mots de passe - c'est jusqu'à ce qu'une violation a eu lieu.

    Nous avons établi cela lorsque nous avons discuté de la violation de RockYou au n ° 4. Si vous avez beaucoup de données importantes sur le Web, c’est une bonne idée de utiliser une application de gestion de mot de passe. Et activer l'authentification en deux étapes. Et ne jamais réutiliser les mots de passe ayant été victimes d'une violation de données. Et assurez-vous que les autres personnes avec qui vous travaillez adopter les mêmes mesures de sécurité.

    Si vous souhaitez aller plus loin, inscrivez-vous pour un outil de notification qui vous avertit lorsque votre courrier électronique est impliqué dans une violation de données..

    (3) Les hack montrent un site indifférence à la protection des mots de passe des utilisateurs et données.

    Dans le cas de Dropbox vs LinkedIn, vous pouvez voir que Dropbox a pris de meilleures mesures plus calculées pour minimiser les dommages d'une violation de données comme celle-ci.

    Dropbox a utilisé de meilleures méthodes de hachage et de salage, a envoyé des courriers électroniques aux utilisateurs les invitant à modifier leurs mots de passe dans les meilleurs délais, a proposé une authentification à deux facteurs et un code U2F (Universal 2nd Factor) qui utilise une clé de sécurité. utilisez 1Password pour gérer leurs mots de passe, les mots de passe des comptes d'entreprise ne peuvent plus être réutilisés et tous les systèmes internes sont sur 2FA).

    Pour un aperçu de ce que LinkedIn a fait, cet article est peut-être une lecture plus approfondie et plus appropriée.

    Emballer

    Pour être franc, apprendre tout cela en étudiant le piratage de Dropbox a été une expérience révélatrice et terrifiante. Nous, la population en général, cruellement sous-estimer le besoin de mots de passe uniques et forts même après avoir été averti à plusieurs reprises de ne jamais partager ou répéter les mots de passe, ou d'y utiliser des mots du dictionnaire.

    Si vos données ont été affectées par le piratage de Dropbox, prenez les précautions nécessaires pour protéger vos informations personnelles.. Faites des efforts dans vos mots de passe ou obtenir un gestionnaire de mot de passe. Oh, et scotchez la caméra de votre ordinateur portable ou votre webcam lorsque vous ne l'utilisez pas. Vous ne pouvez jamais être trop prudent.

    (Photo de couverture via GigaOm)