Efter nyheden om et stort brud på Googles servere, der resulterede i en påstået 5 millioner e-mailadresser, der blev hacket, foreslog forskellige websites, at læsere skulle kontrollere, om de var ofre ved at indtaste deres e-mailadresser i "kontrolværktøjer" - websteder, der kan bestemme om en e-mail-adresse er på en liste over hackede legitimationsoplysninger.
Problemet er, at nogle af disse kontrolværktøjer ikke var lige så legitime, som de websites, der linker til dem, kunne have håbet ...
5 millioner email adresser: sandheden
Rapporteret på det tidspunkt som en massiv lækage på 5 millioner Gmail-konto brugernavne og adgangskoder, viste det sig snart, at historien var godt, bare det: en historie.
Forklaret det lidt senere afslørede Google, at mindre end 2% af kombinationerne af brugernavn og adgangskode var korrekte, og at deres egne login-sikkerhedsværktøjer ville have fanget størstedelen af dem.
De præciserede også, at legitimationsoplysningerne ikke blev hacket fra deres egne servere, men fra andre hjemmesider:
Det er vigtigt at bemærke, at i dette tilfælde og i andre var de lækkede brugernavne og adgangskoder ikke resultatet af brud på Google-systemer. Ofte opnås disse legitimationsoplysninger gennem en kombination af andre kilder.
Hvis du f.eks. Genbruger det samme brugernavn og adgangskode på tværs af websteder, og en af disse websteder bliver hacket, kan dine legitimationsoplysninger bruges til at logge ind på de andre.
Så en Gmail-konto, der blev hentet i et tidligere brud - højt profileret eller ellers - kunne have været en af dem i datadumpen af legitimationsoplysninger i hænderne på "hackerne". I det væsentlige er informationer, der måske allerede har været online på en eller anden måde, Gmail-konti cribbed fra flere kilder.
Men hvordan gik denne historie så almindeligt så hurtigt? Sandsynligvis ved hjælp af et stort runde nummer som 5 millioner, og den kloge streng, der trækker af hackerne, som skrev kontoadgangskoderne på et russisk Bitcoin-forum. Kast et online kontrolværktøj, der bekræfter, om din egen e-mail-konto er i dump, og du har en stor nyhedshistorie.
Selvfølgelig ser det sandsynligt ud, at isleaked.com ikke er hjemmesiden folk troede det var.
Sådan fungerer en falsk hacket e-mailkontokontakt
Kontrol af en e-mail-adresse mod en database (som kan være SQL, Access eller endda en tekstfil Så hvad er en database, alligevel? [MakeUseOf Explains] Så hvad er en database, alligevel? [MakeUseOf Forklarer] For en programmør eller en teknologi entusiast, begrebet en database er noget, der virkelig kan tages for givet. Men for mange er begrebet en database selv en smule fremmed .... Læs mere) hackede email-konti er relativt ligetil. Kombineret med et let downloadet script, kan et sådant websted opsættes på 30 minutter eller deromkring.
Troy Hunt har i mellemtiden en meget bedre tilgang, og derfor skal du bruge sit websted for at kontrollere, at du læser dine legitimationsoplysninger, når du læser eller hører om en konto hack.
Som forklaret på hans blog, har Hunt bygget Have I Been Pwned ?, et legitimt websted (Hunt er en Microsoft MVP for Developer Security) designet til gennemsnitsbrugere at indtaste deres email adresse og finde ud af om de er blevet hacket eller ej. Ved at bruge data indsendt til websteder som Pastebin.com, fortæller det endda, hvilket brud der er ansvarlig for din e-mail-kontos tilstedeværelse i sin database.
Leder du efter en legitim Hacked Email Konto Kontrol?
Når resultaterne vises, viser webstedet navnet på det websted, hvor dine kontooplysninger blev lækket fra. Forhåbentlig ville webstedet have sendt dig privat eller lavet en meddelelse.
(Selvfølgelig bør du være bekymret for, at din e-mail-konto er blevet hacket, skal du alligevel ændre din adgangskode. Husk at gøre det sikkert og mindeværdigt 6 Tips til oprettelse af et ubrydeligt kodeord, som du kan huske 6 tips til oprettelse af et ubrydeligt kodeord, som du Kan huske Hvis dine adgangskoder ikke er unikke og ubrydelige, kan du lige så godt åbne hoveddøren og invitere røverne til frokost. Læs mere.)
Som du kan se fra billedet ovenfor, var min e-mail-konto en af de mange, der blev hentet i den massive Adobe-overtrædelse af 2013. Du skal bruge oplysningerne Hunt's site giver mulighed for at handle straks, selvom du er opmærksom på, at selv når dit kodeord er blevet ændret, Din email adresse forbliver på webstedet.
Hvis det er praktisk, kan det også være værd at overveje at ændre den e-mail-adresse, du bruger med dine online-konti.
Due Diligence bør ikke være en fortid
Et afgørende element i journalistik er due diligence; kontrol af fakta. Det er ikke nok at gentage pressemeddelelser. Enhver forfatter, uanset om det koster $ 1 pr. 1000 ord eller lønnet til et øverste navn i forlag, kan gøre det.
Uheldigvis på World Wide Web, sker det ikke nok.
Et par minutter af faktuel kontrol ville have vist, at de 5 millioner adresser krav var en fabrikation. Som vi rapporterede på det tidspunkt, var adresserne blevet cribbed fra en samling af tidligere lækager. Gmail Passwords Leak Online, Microsoft Drops Windows Phone og Mere ... [Tech News Digest] Gmail-adgangskoder Læk Online, Microsoft Drops Windows Phone og mere ... [Tech News Digest] Også negative anmeldelser, Deezer i USA, Google Pyramider, NES 3DS og en lysende Rube Goldberg-maskine. Læs mere . De russiske hackere kunne samle en liste i stedet for at krænke Googles sikkerhed.
Af særlig mistanke var i mellemtiden webstedet anbefalet af mange websteder til at tjekke e-mails, isleaked.com . Nysgerligt registreret kun to dage før lækagen, i Rusland, var dens pludselige eksistens enten enormt fortabt eller planlagt.
Som jeg altid siger, er der ingen sammenfald i online sikkerhed.
Hvad bedre måde at bekræfte listen over adresser, som du hævder at have hacket, end at få kontoejere til at kontrollere, om de stadig bruger dem eller ej? Det er modus operandi for spammere - døde adresser er værdiløse, hvilket er grunden til, at mange spam e-mails spørger dig om at svare. Dit svar er logget og adressen gemt.
Lækage email checker isleaked.com kunne nemt være en mere sofistikeret tilgang. Mens de hævder:
Vi samler ikke dine e-mails, webadresser / IP-adresser, adgangsloger eller tjekker resultater. Enten gør vi ikke noget skadeligt for din enhed under testen!
... der er lidt grund til at stole på webstedet. Troy Hunt, som har et ry for at opretholde, forklarer, hvordan hans websted virker, så det giver mening at bruge det.
Bedømmelsen: Reagerer ikke uden fakta
Hvad vi kan lære af dette er, at ingen skal handle på krav om databrud og hack uden at have de fulde fakta. Der er simpelthen for mange variabler at tage højde for.
Med Gmail-hackkravene ser det ud til en sikker antagelse, at de påståede hackere simpelthen verificerede deres samling af adresser, formodentlig anvendt i forskellige spamkampagner.
Nogle var ægte, andre længe udløb.
Den bedste hjemmeside for at kontrollere, om din e-mail er blevet hacket og fundet vej mod et websted som Pastebin.com, er hasibeenpwned.com.
Ironisk nok er det for så vidt angår de 5 millioner Gmail-adresser, der tilsyneladende blev hacket fra Google, det teknologipresse, der virkelig blev pwned.
Rob Hyrons via Shutterstock