Qu'est-ce que le Dropbox Hack peut vous apprendre sur l'état de la sécurité Web

La semaine dernière, Dropbox avait fait les manchettes sur un hack qui a vu les adresses e - mail et les mots de passe de 68 millions de comptes Dropbox compromis . Pour tout utilisateur de Dropbox, c'est bien sûr un sujet de préoccupation, en particulier si vous stockez quelque chose dans Dropbox, que ce soit personnel ou professionnel.

Vos photos, documents, données, etc. pourraient être consultés à votre insu en utilisant votre adresse e-mail et votre mot de passe perdu dans ce hack particulier. Les bonnes nouvelles sont qu'il n'y a eu aucun rapport de quelque chose de malveillant sortant du bidouillage de Dropbox, jusqu'ici. Cependant, cela ne signifie pas qu'il n'y a pas de quoi s'inquiéter.

À propos du hack Dropbox

Tout d'abord, débarrassons-nous de ce problème: le bidouillage Dropbox n'est pas arrivé la semaine dernière. Plus de 68 millions d'adresses e-mail et mots de passe sont volés dans le hack, oui, mais le hack lui-même est arrivé il y a 4 ans, en 2012.

Plutôt que d'imaginer une scène de hacker Hollywood (dont beaucoup ont eu le piratage terriblement mal), le piratage est venu à cause d'une erreur humaine .

Les pirates avaient utilisé les noms d'utilisateur et les mots de passe d'une autre violation de données pour se connecter aux comptes Dropbox. L'un de ces comptes appartenait à un employé de Dropbox, qui avait utilisé le même mot de passe pour le site piraté et pour son compte Dropbox.

Par coïncidence, le même employé avait un dossier rempli de documents contenant les adresses électroniques de 68 680 741 comptes Dropbox ainsi que des mots de passe hachés . Jeu, ensemble et match.

1. Dropbox n'était pas seul; LinkedIn a également été piraté

En mai 2016, LinkedIn a annoncé quelque chose de similaire au bidouillage Dropbox de la semaine dernière. Ils ont imploré les utilisateurs de LinkedIn de changer leurs mots de passe «par souci de bonne pratique» après avoir pris connaissance du vol d'un ensemble d'e-mails et de mots de passe qui s'étaient produits - vous l'avez deviné - en 2012.

Si vous avez cliqué sur ce lien dans le paragraphe précédent, vous ne trouverez aucune mention de la taille d'une perte de données, même si le sentiment d'urgence est apparent avec les fréquentes mises à jour de cette page.

Ce qui s'est passé, c'est que plus de 117 millions de comptes LinkedIn ont été touchés, bien qu'il soit possible que le nombre réel pourrait être aussi élevé que 167 millions .

2. Pourquoi les mots de passe piratés refont surface maintenant?

Les ensembles de données à la fois pour Dropbox et LinkedIn seraient échangés sur le web noir maintenant (ou ils l'étaient, jusqu'à il y a une semaine).

L'ensemble de LinkedIn était initialement en vente pour 2 200 $ alors que Dropbox va pour un peu plus de 1 200 $ - La valeur de ces ensembles de données diminue plus ils sont longs, car une fois que la majorité des utilisateurs ont changé les mots de passe, peu ou pas de valeur.

Mais pourquoi maintenant? Quatre ans après le hack? Le plus proche que j'ai eu à une réponse vient de Troy Hunt (il est mentionné un peu dans ce post, et à peu près partout ailleurs) qui écrit beaucoup sur la cybersécurité. Je vais juste citer ce qu'il a à dire:

Inévitablement, il y a un catalyseur, mais il pourrait y avoir beaucoup de choses différentes; l'attaquant décidant finalement de le monétiser, ils sont eux-mêmes ciblés et perdent les données ou, en fin de compte, les échangent contre quelque chose d'autre de valeur.

3. Hacks et les décharges de données se produisent plus souvent que tout le monde veut admettre

En lisant à propos de ce bidouillage Dropbox, je suis tombé sur ce répertoire de base de données, Vigilante.pw un site qui contient des informations sur les violations de données. Au moment d'écrire ces lignes, la base de données complète contient des informations sur 1470 violations, soit plus de 2 milliards de comptes compromis .

Le plus grand du lot est le piratage Myspace en 2013. Ce piratage a touché plus de 350 millions de comptes .

Dans le même répertoire, les 68 millions d'entrées de Dropbox sont les neuvièmes plus importantes dans l'histoire des décharges de données connues. LinkedIn est le cinquième en importance bien que si le nombre a été corrigé à 167 millions au lieu de cela, cela en ferait le deuxième plus grand dump de données dans le répertoire.

(Notez que les dates des vidages de données pour Dropbox et LinkedIn sont répertoriées comme 2012, au lieu de 2016.)

Cela ne vaut cependant pas la peine que le bidouillage infâme d'Ashley Madison ainsi que le hack RockYou changeant de jeu ne soient pas inclus dans le répertoire. Donc, ce qui se passe vraiment là - bas est plus grand que ce que vous voyez sur le site.

hasibeenpwned.com est également une autre source que vous pouvez utiliser pour examiner la gravité des hacks et des vidages de données qui sévissent dans les services et les outils en ligne .

Le site est géré par Troy Hunt, un expert en sécurité qui écrit régulièrement sur les violations de données et les problèmes de sécurité, y compris sur ce récent bidouillage Dropbox. Note: le site est également livré avec un outil de notification gratuit qui vous alertera si l'un de vos e-mails ont été compromis.

Vous pourrez trouver une liste de sites mis en gage, dont les données ont été consolidées sur le site. Voici sa liste des 10 principales violations (il suffit de regarder tous ces chiffres). Trouvez la liste complète ici.

Encore avec moi? Cela devient bien pire.

4. Avec chaque violation de données, les pirates informatiques réussissent mieux à briser les mots de passe

Ce post sur Ars Technica par Jeremi Gosney, un cracker mot de passe professionnel vaut la peine d'être lu. En d' autres termes, plus il y a de violations de données, plus il est facile pour les pirates de déchiffrer de futurs mots de passe.

Le piratage RockYou s'est produit en 2009: 32 millions de mots de passe en texte clair ont été divulgués et les crackers de mot de passe ont eu un aperçu de la façon dont les utilisateurs créent et utilisent les mots de passe.

Ce fut le hack qui a montré la preuve de la façon dont nous ne pensons pas à la sélection de nos mots de passe, par exemple 123456, iloveyou, Mot de passe . Mais plus important:

La violation de RockYou a révolutionné le cracking de mot de passe.

Obtenir 32 millions de mots de passe non hachés, non salés et non protégés a augmenté le jeu pour les crackers mot de passe professionnels, car même s'ils n'étaient pas ceux qui ont commis la violation de données, ils sont maintenant plus préparés que jamais. Les mots de passe obtenus à partir du piratage RockYou ont mis à jour leur liste d'attaques de dictionnaire avec les mots de passe réels que les gens utilisent dans la vie réelle, contribuant à une fissuration significative, plus rapide et plus efficace.

Gawker, eHarmony, Stratfor, Zappos, Evernote, LivingSocial - et avec une mise à jour matérielle, il était possible pour l'auteur (après avoir fait équipe avec quelques équipes pertinentes pour l'industrie) de craquer jusqu'à 173, 7 millions de mots de passe LinkedIn en seulement 6 jours (soit 98% de l'ensemble de données complet). Tellement pour la sécurité, hein?

5. Hashing mots de passe - aident-ils?

Un site qui a subi une violation de données a tendance à utiliser les mots de passe hachés, les mots de passe salés, les algorithmes de hachage et d'autres termes similaires, comme pour vous dire que vos mots de passe sont cryptés et que votre compte est sûr. ). Bien…

Si vous voulez comprendre ce qu'est le hachage et le salage, comment ils fonctionnent et comment ils se fissurent, c'est un bon article à lire.

Au risque de simplifier les concepts, voici:

• Les algorithmes de hachage changent un mot de passe pour le protéger. Un algorithme obscurcit le mot de passe de sorte qu'il n'est pas facilement reconnaissable par un tiers. Cependant, les hachages peuvent être fissurés avec des attaques par dictionnaire (où le point 6 entre) et des attaques par force brute.
• Salting ajoute une chaîne aléatoire à un mot de passe avant qu'il ne soit haché. De cette façon, même si le même mot de passe est hashé deux fois, le résultat sera différent en raison du sel.

Pour en revenir au bidouillage Dropbox, la moitié des mots de passe sont sous le hachage SHA-1 (les sels ne sont pas inclus, ce qui les rend impossible à cracker) tandis que l'autre moitié est sous le hachage bcrypt.

Ce mélange indique une transition de SHA-1 à bcrypt, qui était en avance sur son temps, puisque SHA1 est en passe d'être éliminé d'ici 2017, pour être remplacé par SHA2 ou SHA3.

Cela dit, il est important de comprendre que «le hachage est une police d'assurance» qui ne fait que ralentir les hackers et les crackers. Même si cette protection supplémentaire rend les mots de passe "difficiles à décoder", cela ne signifie pas qu'ils sont impossibles à déchiffrer .

Au mieux, le hachage et le salage achètent juste assez de temps aux utilisateurs, suffisamment pour changer leurs mots de passe afin d'éviter une prise de contrôle de leur compte.

6. Les conséquences des hacks (violations de données)

(1) Hacks pourrait être relativement bénigne comme le hack Dropbox, ou avoir des résultats dévastateurs comme la violation de données Ashley Madison.

Dans ce dernier cas, 25 Go de données, y compris les adresses de domicile réelles, les transactions par carte de crédit, et l'historique de recherche de leurs utilisateurs ont été divulgués. En raison de la nature du site, il y a eu de nombreux cas de honte publique, de chantage, d'extorsion, de divorces et même de suicides.

Le piratage a également révélé la création de faux comptes et l'utilisation de chatbots pour inciter les clients payants à ouvrir un compte.

(2) Hacks montrent également notre indifférence dans la sélection des mots de passe - c'est-à-dire jusqu'à ce qu'une violation s'est produite.

Nous avons établi cela en discutant de la violation RockYou dans # 4. Si vous avez beaucoup de données importantes sur le Web, c'est une bonne idée d' utiliser une application de gestion de mot de passe . Et activer l'authentification en deux étapes . Et ne réutilisez jamais les mots de passe qui ont été dans une violation de données . Et assurez-vous que les autres personnes avec lesquelles vous travaillez adoptent les mêmes mesures de sécurité .

Si vous voulez aller plus loin, inscrivez-vous à un outil de notification qui vous alerte lorsque votre courriel est impliqué dans une violation de données.

(3) Hacks montrent l' indifférence d' un site à la protection des mots de passe et des données des utilisateurs.

Dans le cas de Dropbox vs LinkedIn, vous pouvez voir que Dropbox a pris de meilleures mesures, plus calculées, pour minimiser les dommages causés par une violation de données comme celle-ci.

Dropbox a utilisé de meilleures méthodes de hachage et de salage, envoyé des courriels aux utilisateurs leur demandant de changer leur mot de passe le plus tôt possible, offert une authentification à deux facteurs et Universal 2nd Factor (U2F) qui utilise une clé de sécurité. utilisez 1Password pour gérer leurs mots de passe, les mots de passe de compte d'entreprise ne peuvent plus être réutilisés et tous les systèmes internes sont sur 2FA).

Pour une ventilation de ce que LinkedIn a fait, cet article est peut-être une lecture plus approfondie et appropriée.

Emballer

Pour être franc, en apprendre plus sur tout cela simplement en étudiant le hack Dropbox a été une expérience révélatrice et terrifiante. Nous, la population en général, sous- estimons fortement le besoin de mots de passe uniques et forts, même après avoir été dit à plusieurs reprises de ne jamais partager ou répéter des mots de passe, ou d'utiliser des mots du dictionnaire.

Si vos données ont été affectées par le hack Dropbox, prenez les précautions nécessaires pour sécuriser vos informations personnelles. Mettez un peu d'effort dans vos mots de passe ou obtenez un gestionnaire de mot de passe . Oh, et scotchez votre appareil photo ou votre webcam lorsque vous ne l'utilisez pas. Vous ne pouvez jamais être trop prudent.

(Photo de couverture via GigaOm)