密码灾难主宰新闻


尽管如此download__OP_5_CP__1469740272054_4375983_ver1.0.jpg关于反复的警告,最终用户还没有得到关于设置密码的危险的备忘录,这些密码非常容易猜测,例如“12345”,并且在许多网站上重复使用这些密码。与此同时,公司在保护关键客户数据方面仍有欠缺。其结果是,对于成为凭证填充攻击受害者的公司来说,一连串的坏消息接踵而至。

在线音乐数据库遭到大规模破坏

Last.fm该网站允许用户浏览其他音乐网站,并为他们提供与志同道合的音乐爱好者联系的平台。该网站是一次重大网络攻击的受害者,此次攻击暴露了该网站4300万用户的账户凭证Hackread reported

黑客入侵发生在2012年,但根据黑客阅读和数据泄露通知网站,用户名和密码刚刚在互联网上泄露LeakedSource。每条被盗记录显然都包含用户名、密码、电子邮件地址、加入日期和其他内部数据。密码是由Last.fm使用未加密的MD5哈希方法存储的declared早在2009年,卡耐基梅隆大学软件工程研究所就提出了“密码破解且不适合进一步使用”的观点。

此外,网站上最常用的密码是“123456”,其次是“password”鉴于所有这些,毫不奇怪,Last.fm引起了攻击者的注意,因为Account Takeover (ATO) attacks是当今最常见的数据泄露类型。随着互联网上被盗用户凭证市场的繁荣darknet,ATO攻击通常证明非常有利可图。

暗网上2012年漏洞表面的投递箱数据

本周还有消息称,云存储网站Dropbox的6800万用户的用户证书已经出现在黑网上,在那里可以出售。The Washington Post reported这就像在Last.fm的漏洞中一样,5gb的数据缓存最初是在2012年被盗的,但现在才开始出售。它的售价为两枚比特币,约合1141美元。

虽然Dropbox显然在违规事件发生时就已经意识到了,但真正的损失程度是在本月才暴露出来的。在这种情况下,不像在Last.fm的例子中,据报道密码被散列和加盐,这应该使攻击者更难成功利用它们。(这就是售价如此之低的原因,该报报道,尽管有足够复杂的工具,黑客可能绕过这种保护。自从2012年的攻击以来,Dropbox已经建立了一个多步骤的用户认证过程,试图在未来阻止类似事件的发生。

对抗帐户接管的有效方法解决了攻击的两个阶段

存在许多方法来保护网络应用和网站免受ATO攻击,但是这些解决方案中的许多没有考虑到这样的事实,即这种攻击实际上是分两个阶段进行的。

为了在ATO攻击中成功,攻击者必须首先获得令牌(用户会话或
用户密码。)使用这两种方法中的任何一种,攻击者都可以冒充合法用户。一旦令牌被收集,攻击者就可以出售它们或者使用它们来进一步渗透用户帐户。当攻击者利用令牌访问用户帐户时,ATO攻击进入第二阶段,令牌使用阶段。

寻求保护敏感用户和客户数据的有效解决方案的组织必须选择能够解决ATO攻击两个阶段的安全解决方案。一种被称为Runtime Application Self-Protection (RASP)为这些关键数据提供最全面的保护。

复杂的安全解决方案需要熟练的管理员来运行,例如网络应用防火墙(WAFs),通常达不到要求,特别是考虑到当今快速开发周期的苛刻要求。RASP解决方案提供了关于攻击者可利用的漏洞的详细信息,并将这些漏洞精确定位到代码行。这使得开发人员可以永久修复这些漏洞。

想了解更多吗?Read our ebook详细介绍ATO攻击威胁的现状,以及保护您的应用程序、网站和客户的最佳做法。