Hier soir un hacker anonyme prétendait être en possession de 7 millions de mots de passe aux comptes Dropbox. Bien que cette affirmation soit probablement fausse, elle démontre la manière de plus en plus courante que les pirates utilisent pour accéder à vos mots de passe.
Le pirate a publié environ 400 noms d'utilisateur et mots de passe sur le site de notes anonymes Pastebin dans une série de « teasers » pour la liste principale. Certains utilisateurs de Reddit ont pu se connecter avec succès à Dropbox en utilisant les informations publiées avant que l'entreprise ne désactive tous les mots de passe divulgués.
Mais Dropbox n'a pas tardé à mettre en doute les affirmations , niant qu'il avait été piraté et affirmant que de nombreux noms d'utilisateur et mots de passe n'étaient même pas liés à des comptes Dropbox.
Alors d'où viennent les mots de passe ? Après tout, ils ont travaillé, pendant un certain temps.
La source la plus probable de l'information est un site tiers dont la sécurité est faible. Les pirates savent que la plupart des internautes réutilisent leurs mots de passe, ils ciblent donc souvent des applications plus petites créées par des développeurs amateurs. Ces cibles faciles ont une sécurité médiocre. Par conséquent, les noms d'utilisateur, les mots de passe ou les fichiers peuvent être stockés de manière à être facilement volés par les pirates.
Le récent piratage de Snapchat , qui a vu près de 100 000 photos et vidéos privées publiées en ligne, s'est produit parce qu'un développeur amateur n'avait pas configuré de manière sécurisée son site Web. Dans un post sur la page Facebook Snapsaved , le fondateur anonyme du site explique qu'un serveur Apache mal configuré a rendu les fichiers vulnérables aux pirates.
Les pirates n'ont plus besoin d'essayer de cibler les géants de la technologie. Pourquoi s'embêter à essayer de pirater les serveurs de Google, Apple ou Facebook alors que vous pouvez simplement profiter d'un site Web mal construit pour obtenir les mêmes informations ?
Nous voyons maintenant des pirates utiliser une nouvelle approche. Au lieu de passer des mois à trouver des vulnérabilités dans de grands sites, ils réutilisent les informations de connexion volées à des applications tierces amateurs. Il y a de fortes chances que les informations fonctionnent pour plusieurs sites, donc la compilation de ces caches de données peut rapidement créer une liste de millions de mots de passe.
En septembre, Des hackers russes ont publié une liste de 5 millions de mots de passe à une variété de fournisseurs de messagerie différents, y compris Gmail. Ce n'était pas une nouvelle fuite, mais une collection d'anciennes fuites de mots de passe compilées ensemble pour sembler nouvelles. Bien sûr, de nombreux comptes de messagerie avaient été fermés, mais les informations pouvaient toujours être téléchargées et utilisées par des pirates pour s'introduire dans d'autres comptes.
Alors pourquoi les pirates réutilisent-ils les anciennes informations ? Il y a rarement des preuves qu'ils utilisent réellement les mots de passe pour se connecter aux sites. Au lieu de cela, il semble qu'ils publient simplement les informations en ligne. Ou du moins, ils publient une partie des informations en ligne. Comme nous l'avons mentionné précédemment, les pirates divulguent une collection partielle de mots de passe en tant que « teasers ». Cela s'accompagne souvent d'une demande de dons en Bitcoin.
Nous pouvons utiliser la nature publique des adresses Bitcoin pour voir combien les pirates gagnent en publiant des mots de passe en ligne. C'est souvent moins que ce qu'ils s'attendent à recevoir. Le pirate qui a partagé la collection de mots de passe Dropbox reçu seulement 8 cents . De même, OriginalGuy, l'affiche anonyme du forum derrière la première vague de photos de célébrités iCloud piratées, a exprimé sa consternation devant le petit filet de dons qui est venu à sa rencontre, remarquant:
Bien sûr, j'ai eu 120 $ avec mon adresse Bitcoin, mais quand on considère le temps passé à acquérir ce truc (je ne suis pas le hacker, juste un collectionneur), et l'argent (j'ai payé beaucoup via Bitcoin aussi pour être certain ensembles quand ces trucs étaient négociés en privé le vendredi/samedi) je ne me suis vraiment pas rapproché de ce que j'espérais.
Nous voyons de plus en plus de mots de passe fuir en ligne. Les développeurs amateurs ne renforcent pas la sécurité des mots de passe et les fuites existantes continuent de refaire surface. Bien que les informations rendues publiques soient souvent obsolètes depuis plusieurs années (de nombreux e-mails publiés avec les mots de passe Dropbox ont été désactivés en 2012), il est toujours utile aux pirates de compiler de grandes listes d'adresses e-mail et de mots de passe à utiliser dans des attaques contre d'autres sites .
Et, juste au cas où ce ne serait pas clair, c'est aussi de votre faute : si vous utilisez les mêmes mots de passe encore et encore avec différentes applications, les pirates n'ont pas besoin d'accéder aux serveurs d'Apple ou de Facebook pour les trouver. Ils identifient simplement les applications plus petites avec la sécurité de mot de passe la plus faible.
--Cette histoire est apparu pour la première fois le Interne du milieu des affaires.
