Wed. Sep 11th, 2024

Điều mà những cái tên này chia sẻ trên thực tế là tất cả họ đều đã đạt được thành tích không ít hơn một lần đột nhập vào năm 2013 – năm mà những kẻ giải trí nguy hiểm bắt đầu tập trung vào các hiệp hội trong các doanh nghiệp để lấy thông tin vì lợi ích hoặc phá họ để “chỉ cho các tổ chức một hoặc hai điều về mạng sự bảo vệ.”

Hầu hết thông tin được thâm nhập là dữ liệu đủ điều kiện, ví dụ, tên người dùng và mật khẩu, với thông thường trước đó là địa chỉ email. Một số bằng và bằng dữ liệu dễ nhận biết (PII) và thông tin điều khiển liên kết nhạy cảm khác cũng được thêm vào với mish-mash chung.

Với vô số lần nghỉ giải lao như vậy diễn ra trong năm đó, ngoài sự gia tăng đáng chú ý của những lần nghỉ như vậy sau một vài năm trước đó, người ta có thể hướng đến suy nghĩ: Làm thế nào để các cá nhân có thể nhận thức được việc kiểm tra bất kể họ có bị ảnh hưởng bởi những lần nghỉ này hay không ? Họ có thử và nhận ra mình đã bị thâm nhập không?

Sự phổ biến của lỗi thông tin này kết hợp với cuộc kiểm tra của anh ấy về vụ tấn công Adobe đã thúc đẩy Troy Hunt, một thạc sĩ bảo vệ mạng người Úc, blogger và diễn giả, tạo ra Have I Been Pwned (HIBP), một trang web cho phép khách hàng web kiểm tra xem trang web của họ thông tin đã bị xâm phạm hoặc cần thiết cho một kho thông tin tràn lan sau khi tổ chức bị phá vỡ.

Có phải “Tôi đã được Pwned không?” thành thật?
Đúng là như vậy.

Cho đến nay, HIBP đã tồn tại được gần 10 năm và theo năm tháng, HIBP đã trở thành một bộ máy cơ bản cho các khách hàng web thông thường, các cơ quan hành chính nhà nước và các hiệp hội tương tự.

Thật vậy, bạn đọc quyền đó: các cơ quan lập pháp. HIBP đã và đang giúp đỡ các tiểu bang, như Vương quốc Anh, Úc và Romania (để đưa ra một số ví dụ), trong việc quan sát các hoạt động vi phạm trong các khu vực của chính phủ. Lưu ý rằng việc kiểm tra tổng hợp được hoàn thành bởi các nhánh bảo vệ trực tuyến của các cơ quan lập pháp này, như Trung tâm An ninh mạng Quốc gia (NCSC) cho Vương quốc Anh, Trung tâm An ninh mạng Úc (ACSC) cho Úc và CERT-RO cho Romania. Các hiệp hội này, rõ ràng, không thể điều tra các trang web khác nhau trong các khu vực của chính phủ.

“Quyền truy cập chính mà họ có là vào những không gian mà người thân của họ làm việc trong những lĩnh vực đó có thể thắc mắc ở bất kỳ mức độ nào bằng mô hình tìm kiếm khu vực tự do hiện tại, chúng tôi chỉ đơn giản là kết hợp mọi thứ thành một ràng buộc cùng nhau trợ giúp”, Hunt viết trong một blog năm 2018 mục nhập về điều này. Nếu bạn muốn tìm hiểu kỹ hơn về điều này, thì có thông tin chi tiết từ đầu đến cuối ở đây.

HIBP cũng tương tự như vậy mà không có bất kỳ sự trợ giúp nào được chăm sóc và theo dõi bởi chính Hunt, chứ không phải một nhóm. Hơn nữa, Hunt là một cái tên đáng chú ý và đặc biệt được tin tưởng trong giới bảo vệ mạng. Ngoài ra, anh ấy điều hành sự trợ giúp “với sự thẳng thắn cực độ.”

Có phải “Tôi đã được Pwned không?” an toàn?
Nếu bạn là một cá nhân được thúc đẩy bảo vệ, những người không bao giờ thích các trang web lén theo dõi các yêu cầu của bạn tại bất kỳ thời điểm nào bạn sử dụng điểm nhấn truy vấn của họ, thì việc lo lắng về việc liệu HIBP có thể thực sự lẻn hay, khủng khiếp hơn là chính đáng. , ghi lại từng câu hỏi bạn đưa ra.

Theo trang Câu hỏi thường gặp của HIBP: “Không có gì được trang web ghi lại một cách rõ ràng. Việc ghi nhật ký chính dưới bất kỳ hình thức nào là thông qua Google Analytics, quan sát việc thực thi Application Insights và bất kỳ thông tin triệu chứng nào được thu thập một cách xác minh, giả sử rằng một trường hợp đặc biệt xảy ra trong khuôn khổ.”

Sau đây là các câu hỏi liên quan đến năng lực khác được trình bày trong trang này:

Làm thế nào là thông tin được đưa đi?
Các tài khoản bị thâm nhập nằm trong kho dự trữ bảng Windows Azure chỉ chứa địa chỉ email hoặc tên người dùng và danh sách các điểm đến mà nó hiển thị trong thời gian nghỉ. Nếu bạn quan tâm đến sự tinh tế, nó hoàn toàn được miêu tả trong Làm việc với 154 triệu bản ghi trên Azure Table Storage – câu chuyện của Have I Been Pwned

Thông báo có hỗ trợ lưu trữ địa chỉ email không?
Thật vậy, cần phải theo dõi ai để liên hệ sẽ là một ý tưởng tốt cho họ để họ tăng tốc trong một đợt bùng nổ thông tin tiếp theo. Chỉ cần địa chỉ email, ngày họ mua và một mã thông báo không thường xuyên để xác nhận được bỏ đi.

Làm thế nào để tôi nhận ra rằng trang web không chỉ đơn giản là thu thập thông qua các địa chỉ email?
Bạn không, nhưng tất cả đều giống nhau, nó không phải. Về cơ bản, trang web được lên kế hoạch để trở thành một trợ giúp miễn phí cho các cá nhân để đánh giá rủi ro tương đương với kỷ lục của họ được tăng tốc trong thời gian ngắn. Tương tự như với bất kỳ trang web nào, nếu bạn lo lắng về mục tiêu hoặc bảo mật, đừng sử dụng nó.

Vào năm 2019, Hunt đã mở lòng với những người cho phép của mình về Dự án Svalbard, một cái tên mà anh kết nối với tương lai của Have I Been Pwned. Về cơ bản, Hunt đã muốn từ bỏ việc quản lý HIBP để chuyển sang một “cơ cấu có nguồn lực ưu việt và được hỗ trợ tốt hơn” khi anh ta hiểu rằng một ngày nào đó anh ta sẽ kiệt sức. Tin tức có thể đã đưa ra cảnh báo cho những cá nhân đã tin tưởng vào trang web này trong một thời gian dài vì thường có nỗi lo sợ về việc có sự trợ giúp thích nghi hoặc lạm dụng thông tin bởi bất kỳ ai sẽ bảo mật HIBP.

Vào thời điểm đó, Hunt đã viết một bài đăng dài và thông minh về Dự án Svalbard, bao gồm 7 trách nhiệm trực tiếp của anh ấy đối với số phận cuối cùng của HIBP, bạn có thể hiểu tại đây. Đây là sự thích ứng tl; dr của điều đó:

Các tìm kiếm của khách hàng có thể truy cập không cần thiết phải được duy trì ở chế độ truy cập công khai.
Tôi (Troy Hunt) sẽ ở lại một phần của HIBP.
Tôi cần phải tìm ra nhiều năng lực hơn nữa.
Tôi cần phải tiếp xúc với một đám đông lớn hơn rất nhiều so với hiện tại.
Có thể có nhiều hơn thế đáng kể để thay đổi hành vi của người mua.
Các hiệp hội có thể giúp đỡ nhiều hơn đáng kể từ HIBP.
Cần phải có nhiều tiết lộ hơn – và nhiều thông tin hơn.
Tuy nhiên, vào tháng 3 năm 2020, một cái gì đó đã thay đổi. Như đã chỉ ra vào thời điểm gần nhất có thể, những lượt sự kiện không lường trước được, ưu đãi của HaveIBeenPwned đã bị tạm dừng. Như Hunt đã sáng tác:

“Have I Been Pwned đã được bán xong và tôi sẽ tiếp tục điều hành nó một cách tự chủ.”

Bạn đã được pwnd? Để làm điều này
Mặc dù điều cần thiết là phải nhận thức được trong trường hợp sự tinh tế hoặc trình độ của bạn bị lan truyền, nhưng việc theo dõi nó về cơ bản là có ý nghĩa hơn. Bạn làm gì bây giờ khi nhận ra rằng hồ sơ của bạn đã bị xâm phạm?

Trước hết, hãy thay đổi cụm từ bí mật của bạn. Làm cho nó dài. Nó không cần phải là một dòng chữ viết hoa và viết thường, hình ảnh và số. Độ dài là đủ, như được chỉ ra bởi quy tắc NIST năm 2021. Bạn có thể hình thành cụm từ bí mật dài của riêng mình hoặc bạn có thể đăng ký sự hỗ trợ của người giám sát khóa bí mật.

Tóm lại, hãy sử dụng xác nhận hai yếu tố (2FA) để thêm một lớp bảo mật vào hồ sơ của bạn. Chúng tôi dứt khoát khuyên bạn nên sử dụng ứng dụng từ bí mật một lần (OTP), hoặc mặt khác, nếu bạn có chìa khóa thiết bị thực tế, chẳng hạn như Yubikey, thì càng tốt. Hãy quan sát rằng một số tổ chức tên tuổi lớn như Facebook cho đến nay đã bắt đầu cho khách hàng của họ lựa chọn sử dụng khóa thiết bị. Vì vậy, để làm điều đó, hãy kiểm tra giả sử chuyên gia hợp tác dựa trên web của bạn cũng cung cấp nó và khai thác nó.

By admin