فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الÙيديو Øتى يراه كل Ø§Ù„Ø (سبتمبر 2024)
قال ليفينج سوسيال إن المهاجمين عبر الإنترنت انتهكوا أنظمة LivingSocial مؤخرًا ووصلوا بشكل غير قانوني إلى معلومات العملاء لأكثر من 50 مليون مستخدم. يحتاج المستخدمون إلى تغيير كلمات المرور الخاصة بهم على الفور.
كما ذكرت PCMag.com بالأمس ، أرسلت LivingSocial رسائل بريد إلكتروني لإعلام خرق البيانات إلى جميع العملاء المتأثرين لإبلاغهم بالهجوم السيبراني الذي أدى إلى وصول غير مصرح به لبيانات العملاء. ووفقًا لـ LivingSocial ، فقد تأثر أكثر من 50 مليون حساب ، مما يجعل هذا واحدًا من أكبر انتهاكات كلمة المرور لهذا العام.
ليس من الواضح في هذا الوقت كيف حدث الخرق وما هي المعلومات الأخرى التي سُرقت. في هذه الأنواع من الحوادث ، يهاجم المهاجمون عادةً عن طريق تثبيت البرامج الضارة سراً على أجهزة الموظفين ، ثم يتجهون في جميع أنحاء الشبكة إلى أن يجدوا أنظمة حساسة ، كما صرح جورج توبن ، كبير استراتيجيي الأمن في Trusteer ، لـ SecurityWatch .
وقال توبين: "يجب أن يتوقع مقدمو الخدمات من المتسللين أن يستهدفوا أنظمتهم للحصول على بيانات العملاء أو معلومات الشركة الحساسة". في هذه المرحلة ، "من الواضح أن هؤلاء المزودين لا يقومون ببساطة بما يكفي لحماية معلومات عملائهم".
كلمات المرور المملحة والمجزأة وليس دليلا على الكراك
إنها علامة جيدة على أن LivingSocial قام بتجزئة كلمات المرور الخاصة بها وتمليحها لأن ذلك سيؤدي إلى إبطاء المهاجمين إلى حد ما ، لكنه "لن يمنع" المهاجمين من المحاولة ، والنجاح ، في اكتشاف كلمات المرور الأصلية ، روس باريت ، مدير الأمن الأعلى الهندسة في Rapid7 ، قال SecurityWatch . بينما يبطئ التمليح عملية التكسير ، "في النهاية سيحصل المهاجمون أو شبكتهم على المعلومات التي يحتاجونها" ، قال باريت..
Hashing هو تشفير أحادي الاتجاه ، حيث تحصل دائمًا على نفس المخرجات لإدخال معين ، لكن لا يمكن البدء بتجزئة ومعرفة السلسلة الأصلية. يعتمد المهاجمون بشكل متكرر على طاولات قوس قزح ، وسلسلة من القواميس الهائلة التي تحتوي على كل سلسلة يمكن تخيلها (بما في ذلك كلمات القاموس والألقاب الشائعة وحتى كلمات الأغاني) وقيم التجزئة ذات الصلة. يمكن للمهاجمين مطابقة التجزئة من جدول كلمة المرور مع جدول قوس قزح من أجل العثور على السلسلة الأصلية التي ولدت الكود.
يشير التمليح إلى عملية إضافة معلومات إضافية إلى سلسلة الإدخال الأصلية قبل إنشاء علامة تجزئة. نظرًا لأن المهاجم لا يعرف ما هي أجزاء البيانات الإضافية ، فإن تشقق التجزئة يصبح أكثر صعوبة.
المشكلة ، مع ذلك ، هي أن LivingSocial استخدمت SHA1 لتوليد التجزئة ، خوارزمية ضعيفة. مثل MD5 ، خوارزمية شائعة أخرى ، تم تصميم SHA1 للعمل بسرعة وبأقل قدر ممكن من موارد الحوسبة.
بالنظر إلى التطورات الحديثة في تقنيات الأجهزة والقرصنة ، فإن تجزيئات SHA1 ، حتى المملحة ، ليست مقاومة للتصدع. قد يكون LivingSocial أفضل حالًا باستخدام bcrypt أو scrypt أو PBKDF-2.
تغيير كلمات المرور هذه الآن
قام LivingSocial بإعادة ضبط كلمات المرور بشكل استباقي لجميع المستخدمين ، ويجب على المستخدمين التأكد من اختيار كلمات مرور جديدة لا يتم استخدامها في أي مكان آخر. يميل العديد من الأشخاص إلى إعادة استخدام نفس كلمة المرور عبر المواقع ؛ إذا استخدم المستخدمون كلمة مرور LivingSocial على مواقع أخرى ، فعليهم تغيير كلمات المرور هذه فورًا. بمجرد كسر كلمات المرور ، يمكن للمهاجمين تجربة كلمات المرور ضد الخدمات الشائعة مثل البريد الإلكتروني و Facebook و LinkedIn.
وقال باريت: "هذه الانتهاكات تذكير آخر بأهمية الحفاظ على النظافة الجيدة لكلمة المرور واستخدام كلمات مرور مختلفة لجميع الحسابات والمواقع".
يمكن للمهاجمين أيضًا استخدام تواريخ الميلاد والأسماء لصياغة التصيد وحملات الهندسة الاجتماعية الأخرى. يمكنهم الرجوع إلى هذه التفاصيل لخداع المستخدمين إلى التفكير في أنها رسائل مشروعة. وقال باريت إن البيانات المسروقة "ستشعل الهجمات لفترة طويلة جدًا".
وقال باريت إن خرق LivingSocial هو "تذكرة أخرى بأن المؤسسات ستستمر في استهدافها لبيانات العملاء القيمة الخاصة بهم".
