Teknologireporter Matthew Sparkes mente, at hans adgangskoder og personlige data var sikre, men en rundvisning i de grumsete sider af internettet afslørede ellers
Hackere er efter dine personlige data, for fortjeneste
Sørg for at bruge en god blanding af tegn. Undgå dit kæledyrs navn. Mest af alt skal du aldrig genbruge en adgangskode. Vi kender alle reglerne for at sikre, at nøglerne til vores digitale kongeriger forbliver sikre, og vi bryder sandsynligvis alle dem – og det er når hackere fejer ind for at tjene penge på at sælge dine data.
Markedspladser til stjålne personlige data trives på det mørke web, websteder, der ligger uden for grænserne på det almindelige internet og kan kun fås adgang til via software som Tor, som oprindeligt blev designet af amerikanske efterretningsbureauer til skjult kommunikation. Ikke alt, hvad der er uærlige – BBC News kører et mørkt websted for mennesker, der lever under undertrykkende overvågning, for eksempel – men meget af det er det.
For at finde ud af mere vendte jeg mig til Rory Hattingh, en etisk hacker hos et firma kaldet Evaliker, der bruger sin tid på at bryde ind i virksomheder – lovligt – for at teste sikkerhed. Han fortæller mig, at der er en “usædvanligt lille” chance for, at ingen af mine private data er lækket af hackere. Jeg har skrevet om teknologi længe nok til at forstå, hvor udbredte dataovertrædelser er, men at blive konfronteret med den skarpe virkelighed, at dette inkluderer mig, er ganske vist lidt af et vågne opkald.
Hattingh begynder med at vise mig et websted kaldet har jeg været pwned (et slangbegreb, der betyder, at dine data er blevet kompromitteret), som samler brugernavne og adgangskoder, der deles på det mørke web til en enkelt søgbar database. Jeg indtastede min e -mail -adresse og fandt bekymrende, at den var blevet fanget i 29 hackingangreb.
Den seneste skete i 2024, da internetarkivet blev angrebet, og min e -mail og adgangskode blev lækket. Mine detaljer havde også været en del af 122 gigabyte af brugerdata skrabet fra tusinder af telegramkanaler samt en database kaldet NAZ.API, der oprindeligt blev sendt til et hackere forum. Andre anførte angreb involverede stjålne postadresser, jobtitler, telefonnumre, IP -adresser, adgangskodetip og fødselsdatoer fra tjenester, herunder Adobe, Dropbox og LinkedIn.
I teorien er disse lækager af begrænset værdi: hvis LinkedIn, siger, hacket, og dit brugernavn og din adgangskode lækkes, påvirker det ikke din Facebook -konto. Det er medmindre du selvfølgelig er en af de mere end 60 procent af mennesker, der bruger den samme adgangskode igen og igen og igen. I dette tilfælde kan hackere tage disse detaljer og springe rundt på internettet ved at bruge dem overalt, de kan tænke på-normalt på en lynhurtig, automatiseret måde. Derefter, siger Hattingh, “du er i en masse problemer”.
Dette kan omfatte online shopping med dine gemte betalingsoplysninger, PayPal -konto eller cryptocurrency -tegnebøger. At få adgang til en konto kan også hjælpe med at få adgang til andre, hvor e -mail er jackpotten. Når du kan sende og modtage e -mails fra en konto, kan du nulstille adgangskoder og bryde ind i alle slags andre websteder, for ikke at nævne husholdningsfaktureringskonti og måske endda online bankvirksomhed. Hackere med adgang til sociale medier eller e -mail -konti kan også forsøge at bedragere venner og familie med falske historier om nødsituationer, der kræver en hurtig bankoverførsel. Det faktum, at disse kommer fra en reel beretning, giver disse tricks en luft af plausibilitet, der kan være nok til at overvinde mistanke, indtil det er for sent.
For at gøre tingene værre, selvom nogle virksomheder, der lider af hacks, er hurtige til at informere folk og opfordre dem til at ændre deres adgangskoder, kan andre være mere træg, hvilket efterlader folk sårbare i måneder eller endda år. Hattingh siger, at han i et tidligere job, for navngivne klienter, ville se ransomware -angreb, der kom og gik med lidt panik. Disse angreb ser offerets data blive krypteret og holdt til løsepenge, gøres ubrugelig, medmindre du betaler hackeren for adgangskoden – men i stigende grad ser nogle virksomheder bare dette som omkostningerne ved at drive forretning.
”Disse virksomheder ville blive hacket to, tre gange om året,” siger Hattingh. ”De har en slush -fond til, når ting går galt. De betaler op og fortsætter med livet. Og dette sker over hele verden, hele tiden.”
Så vedrørende som det var at se mine personlige data ude i det fri som dette, er optegnelser om, at jeg har været pwned, ligner det mekanisk genvundne kød, du måske finder i kyllingnuggets. Hattingh siger, at premium -bøf af personoplysninger kommer, når sofistikerede hackere først overtræder et websted og stjæler et nyt træk for at sælge videre til andre, der tjener på at udnytte det. Når de første købere har uddraget, hvad de kan, vil dataene blive solgt igen og igen. Når de mest rentable data er blevet valgt, kan resten ende med at blive frigivet gratis på et hackers forum, Telegram Channel eller et andet mørkt hjørne af Internettet, hvor jeg er blevet pwned også henter det op.
Da jeg arbejdede mig op ad fødekæden, viste Hattingh mig en betalt for service kaldet Dehashed, der ikke kun tilbyder en bred beskrivelse af overtrædelser, som har jeg været pwned, men også deres faktiske indhold, inklusive adgangskoder. Navnet på tjenesten henviser til den almindelige sikkerhedsproces for “hashing” eller skjuler en adgangskode for at stoppe, at den kopieres. Dehashing striber naturligvis dette væk. Det, jeg troede var det værste tilfælde, men jeg er nu klar over, at normen faktisk er sandt at være sandt: mindst et af de adgangskoder, der er anført sammen med min e -mail -adresse, er både velkendt og nuværende. I teorien havde der ikke været noget til at stoppe hackere – eller nogen med en forbipasserende interesse – logning i mindst en af mine online konti.
Dehashed er en betalt service, der koster $ 219.99 om året, som hævder at være for “retshåndhævende myndigheder og Fortune 500 -virksomheder”. Jeg kontaktede virksomheden for at spørge, om de er bekymrede for, at deres værktøj, som ganske vist kun samler detaljer lækket andetsteds, kunne være nyttige for hackere såvel som sikkerhedsarbejdere. Jeg modtog intet svar.
Jeg besluttede, at jeg skulle gå dybere ind i det mørke web. Jeg talte med Anish Chauhan på Equilibrium Security Services, som viste mig resultaterne af en søgning udført af hans teams skræddersyede software, der gennemsøger endnu bredere og dybere end de kommercielle værktøjer, jeg havde set indtil videre. Han havde fundet 24 adgangskoder knyttet til mine online konti.
”Brugere kan sige,” Jeg har en adgangskode på 200 tegn, ingen har nogensinde en brute-kraft, der ”,” siger Chauhan. “Men siger, at de derefter bruger det på hvert eneste websted, de bruger. Det gør det slags irrelevant, fordi det til sidst bliver brudt. Som mennesker tager vi bare vejen for mindst modstand, ved du?”
Chauhan siger, at løsningen er relativt enkel, og at vi alle har hørt den før: Brug en anden adgangskode til hver enkelt konto. Efter at have set, hvordan mine detaljer er blevet bredt delt, bliver det skarpt klart, hvorfor dette er vigtigt.
Sagen er, at værktøjerne til at gøre dette let er der allerede er der – de fleste moderne enheder og internetbrowsere skal komme med en adgangskodeadministrator, der genererer tilfældige stærke adgangskoder og husker dem alle for dig. Hvis du er bekymret for, at dine adgangskoder allerede er lækket, kan det være værd at tjekke, hvis jeg har været pwned eller betalt for mere omfattende tjenester, der skurer de uærlige regioner på Internettet for at bevise en lækage.
I de senere år har jeg brugt en adgangskodeadministrator til at generere stærke adgangskoder og organisere dem for mig, men jeg er klar over, at nogle tjenester, jeg har brugt i lang tid, har fået lov til at feste med gamle og hacket logins. Jeg bruger en aften på at rette op på det, ikke mindst fordi jeg vil være forberedt, før denne artikel offentliggøres.
Men jeg slår ikke mig for meget. Konfronteret med uendelige krav om at komme med nye loginoplysninger, er det ikke underligt, at vi undertiden tager den lette vej ud. Jeg er bestemt ikke alene om at gøre det.
”Jeg er en smuk teknisk kyndig person, og jeg ændrer næppe mine adgangskoder,” siger Hattingh. ”For arbejde ændrer jeg det, men i mit personlige liv er jeg lidt mere doven.”