Qu'est-ce que vous obtenez lorsque vous croisez une douzaine de pirates informatiques russes avec 420 000 sites Web avec une vulnérabilité d'injection SQL? Vous obtenez 4, 5 milliards d'enregistrements utilisateur compromis dans les mains de ces pirates informatiques.
Mardi, le New York Times a rapporté que Hold Security de Milwaukee, Wisconsin, a découvert une base de données remplie d'informations d'identification volées. Alex Holden, responsable de la sécurité de l'information de Hold Security, a retracé la source des informations d'identité volées sur un petit anneau de piratage d'un peu moins d'une douzaine d'hommes âgés de 20 ans, basés dans le sud de la Russie centrale. Il a surnommé le groupe "CyberVor".
Holden a expliqué que le "gang de piratage" se composait d'une équipe de jeunes hommes, chacun avec son propre rôle - certains programmes d'écriture, d'autres travaillant pour extraire les informations d'identification à partir des données. L'ensemble de la société fonctionne comme une entreprise réelle.
Le gang de piratage russe
Selon Holden, CyberVor a débuté en 2011 en tant qu'équipe de spammeurs. Le plan d'affaires consistait alors à acheter des informations de contact volées sur le marché noir afin d'envoyer des courriels de masse pour les clients. Au cours des quelques années qui ont suivi, l'équipe d'entrepreneurs criminels a créé un botnet, un réseau massif d'ordinateurs infectés par un virus qui leur permet d'être utilisés pour envoyer des messages de spam.
Au fil du temps, l'équipe a utilisé son bot-net pour tester les sites Web vulnérables à une attaque par piratage par injection SQL. Une fois qu'une liste de sites Web a été compilée, l'équipe s'est ensuite mise au travail en exécutant le hack sur le site et en extrayant le contenu complet de la base de données stockée là.
Avec l'accès à la base de données, le groupe a pu compiler les 4, 5 milliards d'enregistrements, qui contenaient un total de 1, 2 milliard d'identifiants uniques de nom d'utilisateur et de mot de passe, et 542 millions d'adresses électroniques uniques.
Qu'est-ce que cela signifie
Si vous pensez que vous pouvez sortir indemne de cette menace de sécurité particulière, détrompez-vous. Considérant qu'il y a actuellement un peu moins de 3 milliards d'utilisateurs Internet dans le monde, une violation de 1, 2 milliards d'identifiants uniques de nom d'utilisateur et mot de passe représente un succès record des pirates informatiques, et cela signifie également que vos informations d'identification sont très probables. risque.
Orla Cox, le directeur de la réponse de sécurité pour Symantec a déclaré à NPR news que l'approche la plus sûre à ce sujet est de supposer que vos informations d'identification sont compromises.
"Je pense que tous les utilisateurs d'Internet devraient supposer qu'ils ont été touchés par cela. Clairement, ce ne sont pas des opportunistes, ce ne sont pas des amateurs. Ce sont des cybercriminels à temps plein qu'ils ont probablement menés à bien pendant plusieurs mois, peut-être même des années. "
Comment savez-vous si vos informations d'identification ont été affectées? Malheureusement, vous n'avez pas - jusqu'à ce que Hold Security publie son outil en ligne qui vous permettra de tester si vos propres informations sont dans la base de données.
Pendant ce temps, Hold Security capitalise sur la violation en construisant une série de services destinés à aider les propriétaires de sites Web et les utilisateurs d'Internet à gérer la menace de ce gang de hackers. Ces services comprennent les suivants:
- Breach Notification Service (BNS) - vous alerte si votre site a été touché par cette violation ou toute autre violation de sécurité. Coût: 120 $ / année
- Services de test et d'audit de stylo - Auditeront votre site et trouveront des vulnérabilités. Aucun prix répertorié.
- Credentials Integrity Service (Service d'intégrité des informations d'identification) - Vous avertit si l'un des utilisateurs de votre site Web a eu des informations d'identification compromises. Aucun prix répertorié.
- Electronic Identity Monitoring Service - Destiné aux personnes qui veulent savoir si leur identité électronique est vulnérable ou compromise. La pré-inscription est disponible, car le service est en cours de développement.
Ce que tu devrais faire
Bien sûr, l'approche la moins chère pour écrire un chèque à Hold Security pour vous dire si vous avez été affecté, est simplement de changer tous vos mots de passe. Bien que cela puisse être ennuyeux à faire, si proche du fiasco Heartbleed il y a quelques mois. Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite, c'est vraiment le seul pari sûr pour sécuriser vos comptes. Le problème, bien sûr, est que vous ne pouvez pas vraiment faire cela tant que vous ne savez pas que les sites Web que vous utilisez ne sont pas vulnérables à l'injection SQL.
Si vous voulez déterminer si les sites Web que vous utilisez pour accéder à vos comptes sont sûrs ou non, vous aurez besoin d'un moyen de savoir s'ils sont à l'abri des attaques par injection SQL - l'arme de choix pour ce gang de hackers russes.
Heureusement, il est assez facile de vérifier si un site est vulnérable à ce hack particulier. Tout ce que vous devez faire est de trouver une page sur le site qui charge dynamiquement à partir de la base de données backend. C'est assez facile avec un site basé sur PHP en recherchant des URL structurées avec la requête, comme ceci: "http://www.website.com/page.php?id=32"
Un test rapide de la vulnérabilité SQL Injection consiste à ajouter une seule citation à la toute fin de la ligne. Si la page Web se charge toujours correctement, le site est protégé de cette attaque. Si elle renvoie une erreur "Requête SQL a échoué", le site est vulnérable et vous devez supposer que vos données qui y sont stockées ont été compromises.
En ajoutant un ' à l'URL, vous testez si vous pouvez ajouter des paramètres SQL supplémentaires pour déclencher une commande SQL plus invasive.
Si vous découvrez que le site Web est sûr, alors allez-y et changez vos mots de passe là-bas. Si vous constatez qu'il est toujours vulnérable à une attaque par injection SQL, évitez de modifier vos informations d'identification et contactez plutôt le propriétaire du site Web pour l'informer de la vulnérabilité.
Pendant que vous y êtes ...
Pendant que vous parcourez et modifiez vos mots de passe sur tous les sites sécurisés, tenez compte des instructions suivantes.
- Votre mot de passe est vraiment unique et fort? Assurez-vous de consulter nos nombreux articles avec des astuces de génération de mot de passe 7 façons de créer des mots de passe sécurisés et mémorables 7 façons de créer des mots de passe sécurisés et mémorables Avoir un mot de passe différent pour chaque service est indispensable dans le monde en ligne, mais il y a une terrible faiblesse aux mots de passe générés aléatoirement: il est impossible de se souvenir de tous. Mais comment pouvez-vous vous souvenir ... Lire la suite.
- Utilisez une stratégie de gestion de mot de passe pour simplifier votre vie Utilisez une stratégie de gestion de mot de passe pour simplifier votre vie La plupart des conseils sur les mots de passe sont presque impossibles à suivre: utilisez un mot de passe fort contenant des chiffres, des lettres et des caractères spéciaux; changez-le régulièrement; trouver un mot de passe unique pour chaque compte, etc .... Lisez plus et assurez-vous que votre mot de passe est différent pour chaque site que vous utilisez. Essayez d'utiliser un générateur de mot de passe 5 Générateurs de mot de passe gratuits pour les mots de passe presque impossible à saisir 5 Générateurs de mot de passe gratuits pour les mots de passe presque impossible à déchiffrer Lisez plus pour chaque site.
- Je répète: Utilisez un mot de passe unique pour chaque site!
Au-delà de la gestion des mots de passe, il existe une autre approche créative qui vous permet de «revenir» aux pirates. Cela implique de s'assurer que tous vos comptes en ligne contiennent de fausses informations - des adresses fausses, des numéros de téléphone et des adresses e-mail. De cette façon, chaque fois que ce type de violation se produit, vous pouvez en rire, car toutes les informations de contact personnelles - en particulier le courrier électronique qui est généralement retiré pour le spam - sont complètement ratées pour le pirate informatique.
De toute évidence, cette approche ne fonctionnerait pas pour un site financier qui nécessite généralement une identification confirmée, mais on peut espérer que les sites financiers sont suffisamment en avance sur la courbe de sécurité pour être plus sûr de quelque chose comme un hack SQL Injection.
À la lumière de la taille et de la portée de cette dernière attaque, êtes-vous préoccupé par vos informations privées ? Avez-vous des plans pour y faire face? Partagez vos pensées dans la section des commentaires ci-dessous!
Source: New York Times
Crédits image: Homme invisible Via Shutterstock, kentoh / Shutterstock