Учебная начинка

Начинка учетных данных - это тип кибератаки , в котором злоумышленник собирает учетные данные о похищенной учетной записи , обычно состоит из списков имен пользователей или адресов электронной почты и соответствующих паролей (часто из -за нарушения данных ), а затем использует учетные данные для получения несанкционированного доступа к учетным записям пользователей на включении Другие системы с помощью крупномасштабных автоматических запросов входа в систему, направленные против веб-приложения . ^{[ 1 ]} В отличие от взлома учетных данных, атаки начинки учетных данных не пытаются использовать грубую силу или угадать какие -либо пароли - злоумышленник просто автоматизирует вход для большого числа (тысячи до миллионов) ранее обнаруженных пар учетных данных, использующих стандартные инструменты веб -автоматизации, такие как селен , Curl, Curl, Curl , Phantomjs или инструменты, разработанные специально для этих типов атак, таких как Sentry MBA, Snipr, Storm, Blackbullet и OpenBullet. ^{[ 2 ]}^{[ 3 ]}

Атаки начинки учетных данных возможны, потому что многие пользователи повторно используют одну и ту же комбинацию имени пользователя/пароля на нескольких сайтах, причем один из сообщений сообщает, что 81% пользователей повторно использовали пароль на двух или более сайтах, а 25% пользователей используют одни и те же пароли в большинстве их счета. ^{[ 4 ]} В 2017 году FTC выпустил консультативный консультации, предлагающий конкретные действия, которые компании, необходимых для начинки, начиная с тех, что настаивают на безопасных паролях и защита от атак. ^{[ 5 ]} Согласно бывшему Google Click Fraud Czar Shuman gosemajumder , атаки на фарш -факторинге имеют до 2% -ного уровня успеха входа в систему, что означает, что один миллион украденных полномочий может занять более 20 000 счетов. ^{[ 6 ]} Wired Magazine описал лучший способ защиты от начинки для учетных данных-использовать уникальные пароли на учетных записях, например, которые генерируются автоматически менеджером паролей , включение двухфакторной аутентификации и для того, чтобы компании обнаружили и останавливали атаки начинки учетных данных. ^{[ 7 ]}

Разливки полномочий

Разлив учетных данных, в качестве альтернативы, упоминаемый как нарушение данных или утечка, возникает, когда несанкционированные люди или группы незаконно получают доступ к конфиденциальным учетным данным пользователей, которые хранят организации. Такие учетные данные часто включают имена пользователей, адреса электронной почты и пароли. Последствия разливов полномочий могут быть значимыми, поскольку они обычно подвергают пользователям ряда опасностей, включая кражу личных данных, финансовое мошенничество и несанкционированную инфильтрацию счета. ^{[ 8 ]}

Атаки на фарш -факторов считаются одними из главных угроз для веб -и мобильных приложений в результате объема разливов полномочий. Только в 2016 году в онлайн -нарушениях данных было распространено более трех миллиардов учетных данных. ^{[ 9 ]}

Источник

Термин был придуман Сумитом Агарвалом, соучредителем Shape Security, который служил заместителем помощника министра обороны в Пентагоне . в то время ^{[ 10 ]}

Инциденты

20 августа 2018 года британский ритейлер здравоохранения и красоты SuperDrug был нацелен на попытку шантажа, а хакеры демонстрировали явные доказательства того, что они проникли на сайт компании и загрузили записи 20 000 пользователей. Скорее всего, доказательства были получены от взломов и разливов, а затем использовались в качестве источника для атак на фарширование учетных данных, чтобы получить информацию, чтобы создать фиктивные доказательства. ^{[ 11 ]}^{[ 12 ]}

В октябре и ноябре 2016 года злоумышленники получили доступ к частному репозиторию GitHub , используемому разработчиками Uber (Uber BV и Uber UK), используя имена пользователей и пароли сотрудников, которые были скомпрометированы в предыдущих нарушениях. Хакеры утверждали, что угнали 12 пользовательских учетных записей сотрудников, используя метод устранения учетных данных, так как адреса электронной почты и пароли были повторно использованы на других платформах. Многофакторная аутентификация , хотя и была доступна, не была активирована для затронутых учетных записей. компании Хакеры обнаружили учетные данные для данных Datastore в файлах репозитория, которые они использовали для получения доступа к записям 32 миллионов пользователей, не являющихся US и 3,7 миллионами неамериканских драйверов, а также другие данные, содержащиеся в более чем 100 S3 ведрах . Злоумышленники предупредили Uber, требуя оплаты в размере 100 000 долларов США, чтобы согласиться удалить данные. Компания платила через программу Bug Bounty , но не раскрывала инцидент пострадавшим сторонам более года. После того, как нарушение выяснилось, компания была оштрафована на 385 000 фунтов стерлингов (сокращено до 308 000 фунтов стерлингов) Управление комиссара информации . ^{[ 13 ]}

В 2019 году фирма по исследованию кибербезопасности Knight Lion Security заявила в отчете, что наполнение полномочий была предпочтительным методом атаки для гностических игр . ^{[ 14 ]}

Скомпрометированная проверка полномочий

Скомпрометированная проверка учетных данных - это техника, позволяющая уведомлять пользователей, когда пароли нарушаются веб -сайтами, веб -браузерами или расширениями паролей.

В феврале 2018 года британская компьютерная ученые Джунада Али создала протокол связи (используя k -анонимность и криптографическое хеширование ), чтобы анонимно проверить, был ли пароль просочился без полного раскрытия поискового пароля. ^{[ 15 ]}^{[ 16 ]} Этот протокол был реализован в качестве публичного API и в настоящее время используется несколькими веб -сайтами и услугами, включая менеджеров паролей ^{[ 17 ]}^{[ 18 ]} и расширения браузера . ^{[ 19 ]}^{[ 20 ]} Этот подход был позже воспроизведен функцией проверки пароля Google . ^{[ 21 ]}^{[ 22 ]}^{[ 23 ]} Али работал с академиками в Корнелльском университете, чтобы разработать новые версии протокола, известные как ведение сглаживания частоты (FSB) и бакульнизация на основе идентификатора (IDB). ^{[ 24 ]} В марте 2020 года криптографический прокладка . в протокол был добавлен ^{[ 25 ]}

Скомпрометированные реализации проверки учетных данных

Протокол	Разработчики	Обнародовано	Ссылки
К-анонимность	Джунада Али ( Cloudflare ), Трой Хант ( я был подписан? )	21 февраля 2018 года	^{[ 26 ]}^{[ 27 ]}
Сглаживание частоты ведение сглаживания и на основе идентификаторов.	Корнелльский университет (Люси Ли, Биджит Пал, Рахул Чаттерджи, Томас Ристенпарт), Cloudflare (Junade Ali, Ник Суливан)	Май 2019	^{[ 28 ]}
Проверка пароля Google (GPC)	Google , Стэнфордский университет	Август 2019	^{[ 29 ]}^{[ 30 ]}
Активное обнаружение начинки	Университет Северной Каролины в Чапел -Хилл (Кей Коби Ван, Майкл К. Рейтер)	Декабрь 2019 года	^{[ 31 ]}

Смотрите также

Нарушение данных

Ссылки

^ «Учебная начинка» . OWASP .
^ «Отчет о разливе полномочий» (PDF) . Shape Security. Январь 2017 г. с. 23. Наиболее популярный инструмент начинки учетных данных, Sentry MBA, использует файлы «config» для целевых веб -сайтов, которые содержат всю логику последовательности входа в систему, необходимую для автоматизации попыток входа в систему
^ «Использование инструментов начинки учетных данных» . NCSC .
^ «Пробуждающий звонок по плохим привычкам паролей пользователей» (PDF) . Secureauth. Июль 2017 года. Архивировано из оригинала (PDF) 2018-08-12 . Получено 2018-07-11 .
^ «Придерживайтесь безопасности: требуют безопасных паролей и аутентификации» . Федеральная торговая комиссия . 2017-08-11 . Получено 2021-04-11 .
^ Ghosemajumder, Shuman (2017-12-04). «Вы не можете получить 100% своих данных в 100% времени» . Гарвардский бизнес -обзор . ISSN 0017-8012 . Получено 2021-04-11 .
^ "Что такое полномочия?" Полем Проводной . ISSN 1059-1028 . Получено 2021-04-11 .
^ Shanker, ed (8 марта 2022 г.). «Учебная начинка» . Получено 19 мая 2023 года .
^ Чикауски, Эрика (17 января 2017 г.). «Атаки по борьбе с учетом корпораций снимают корпоративные системы штурмом» . Темный читающий . Получено 19 февраля 2017 года .
^ Таунсенд, Кевин (17 января 2017 г.). «Учебная начинка: успешная и растущая методология атаки» . Неделя безопасности . Получено 19 февраля 2017 года .
^ «Super-Mugs: хакеры утверждают, что вырвали 20 тыс. Записи клиентов от Brit Biz Superdrug» . Реестр .
^ «SuperDrug не отвергает Super Ransom после предполагаемого супер -ограбления - финансирование крипто -сообщества» . 23 августа 2018 года.
^ «Уведомление о денежном штрафе (Uber)» (PDF) . Управление комиссара информации. 27 ноября 2018 года.
^ «Гностики, часть 1: Обзор хакеров Nclay, DDB и NSFW» . Ночной лев безопасности . 2019-12-30 . Получено 2022-03-06 .
^ «Узнайте, был ли ваш пароль, был выставлен - без отправки его на сервер» . Ars Technica . Получено 2018-05-24 .
^ «1Password Bolts on the Pword Password Check - TechCrunch» . TechCrunch.com . 23 февраля 2018 года . Получено 2018-05-24 .
^ «1Password интегрируется с« Pwned паролями », чтобы проверить, были ли ваши пароли просочились в Интернете» . Получено 2018-05-24 .
^ Конгер, Кейт. «1Password помогает вам выяснить, если ваш пароль сведен» . Гизмодо . Получено 2018-05-24 .
^ Кондон, Стефани. «Окта предлагает бесплатную многофакторную аутентификацию с новым продуктом, одно приложение» . Zdnet . Получено 2018-05-24 .
^ Корен, Майкл Дж. «Самая большая в мире база данных взломанных паролей теперь является расширением Chrome, которое автоматически проверяет ваше» . Кварц . Получено 2018-05-24 .
^ Wagenseil I, Пол (5 февраля 2019 г.). «Новое расширение Google Chrome находит ваши взломанные пароли» . www.laptopmag.com .
^ «Google запускает расширение проверки пароля, чтобы предупредить пользователей о нарушениях данных» . BleepingComputer .
^ Дсуза, Мелиша (6 февраля 2019 г.). «Новый chrome расширение« проверка пароля »Google проверяет, если ваше имя пользователя или пароль подвергалось воздействию третьей стороны» . Packt Hub .
^ Ли, Люси; Приятель, Биджит; Али, Джунада; Салливан, Ник; Чаттерджи, Рахул; Ristenpart, Thomas (2019-11-06). «Протоколы для проверки скомпрометированных полномочий». Материалы конференции ACM SIGSAC 2019 года по безопасности компьютеров и коммуникаций . Нью -Йорк, Нью -Йорк, США: ACM. С. 1387–1403. Arxiv : 1905.13737 . BIBCODE : 2019ARXIV190513737L . doi : 10.1145/3319535.3354229 . ISBN 978-1-4503-6747-9 Полем S2CID 173188856 .
^ Али, Джунада (4 марта 2020 года). «PWEND PASSTORS PADDING (Ft. Lava Lamps и работники)» . Блог CloudFlare . Получено 12 мая 2020 года .
^ Али, Джунада (21 февраля 2018 г.). «Проверка просочившихся паролей с K-анонимностью» . Блог CloudFlare . Получено 12 мая 2020 года .
^ Али, Джунада (5 октября 2017 г.). «Механизм предотвращения повторного использования паролей через анонимные хэши» . Peerj Preprints. doi : 10.7287/peerj.preprints.3322v1 . Получено 12 мая 2020 года . {{cite journal}}: CITE Journal требует |journal= ( помощь )
^ Ли, Люси; Приятель, Биджит; Али, Джунада; Салливан, Ник; Чаттерджи, Рахул; Ristenpart, Томас (4 сентября 2019 г.). «Протоколы для проверки скомпрометированных полномочий». Arxiv : 1905.13737 [ Cs.cr ].
^ Томас, Курт; Пуллман, Дженнифер; Йео, Кевин; Рагхунатан, Анант; Келли, Патрик Гейдж; Invernizzi, Luca; Бенко, Борбала; Пьетрашзек, Тадек; Патель, Сарвар; Бон, Дэн; Бурштейн, Эли (2019). Защита учетных записей от начинки учетных данных с помощью предупреждения о нарушении пароля . С. 1556–1571. ISBN 9781939133069 .
^ Cimpanu, Каталин. «Google запускает функцию проверки пароля, добавит его в Chrome в конце этого года» . Zdnet . Получено 12 мая 2020 года .
^ Ван, Ке Коби; Рейтер, Майкл К. (2020). Обнаружение начинки учетных данных пользователя на ее собственных учетных записях . С. 2201–2218. Arxiv : 1912.11118 . ISBN 9781939133175 .

Внешние ссылки

" OWASP intry на начинках по учебе "

[1] «Учебная начинка» . OWASP .

[2] «Отчет о разливе полномочий» (PDF) . Shape Security. Январь 2017 г. с. 23. Наиболее популярный инструмент начинки учетных данных, Sentry MBA, использует файлы «config» для целевых веб -сайтов, которые содержат всю логику последовательности входа в систему, необходимую для автоматизации попыток входа в систему

[3] «Использование инструментов начинки учетных данных» . NCSC .

[4] «Пробуждающий звонок по плохим привычкам паролей пользователей» (PDF) . Secureauth. Июль 2017 года. Архивировано из оригинала (PDF) 2018-08-12 . Получено 2018-07-11 .

[5] «Придерживайтесь безопасности: требуют безопасных паролей и аутентификации» . Федеральная торговая комиссия . 2017-08-11 . Получено 2021-04-11 .

[6] Ghosemajumder, Shuman (2017-12-04). «Вы не можете получить 100% своих данных в 100% времени» . Гарвардский бизнес -обзор . ISSN 0017-8012 . Получено 2021-04-11 .

[7] "Что такое полномочия?" Полем Проводной . ISSN 1059-1028 . Получено 2021-04-11 .

[8] Shanker, ed (8 марта 2022 г.). «Учебная начинка» . Получено 19 мая 2023 года .

[9] Чикауски, Эрика (17 января 2017 г.). «Атаки по борьбе с учетом корпораций снимают корпоративные системы штурмом» . Темный читающий . Получено 19 февраля 2017 года .

[10] Таунсенд, Кевин (17 января 2017 г.). «Учебная начинка: успешная и растущая методология атаки» . Неделя безопасности . Получено 19 февраля 2017 года .

[11] «Super-Mugs: хакеры утверждают, что вырвали 20 тыс. Записи клиентов от Brit Biz Superdrug» . Реестр .

[12] «SuperDrug не отвергает Super Ransom после предполагаемого супер -ограбления - финансирование крипто -сообщества» . 23 августа 2018 года.

[13] «Уведомление о денежном штрафе (Uber)» (PDF) . Управление комиссара информации. 27 ноября 2018 года.

[14] «Гностики, часть 1: Обзор хакеров Nclay, DDB и NSFW» . Ночной лев безопасности . 2019-12-30 . Получено 2022-03-06 .

[15] «Узнайте, был ли ваш пароль, был выставлен - без отправки его на сервер» . Ars Technica . Получено 2018-05-24 .

[16] «1Password Bolts on the Pword Password Check - TechCrunch» . TechCrunch.com . 23 февраля 2018 года . Получено 2018-05-24 .

[17] «1Password интегрируется с« Pwned паролями », чтобы проверить, были ли ваши пароли просочились в Интернете» . Получено 2018-05-24 .

[18] Конгер, Кейт. «1Password помогает вам выяснить, если ваш пароль сведен» . Гизмодо . Получено 2018-05-24 .

[19] Кондон, Стефани. «Окта предлагает бесплатную многофакторную аутентификацию с новым продуктом, одно приложение» . Zdnet . Получено 2018-05-24 .

[20] Корен, Майкл Дж. «Самая большая в мире база данных взломанных паролей теперь является расширением Chrome, которое автоматически проверяет ваше» . Кварц . Получено 2018-05-24 .

[21] Wagenseil I, Пол (5 февраля 2019 г.). «Новое расширение Google Chrome находит ваши взломанные пароли» . www.laptopmag.com .

[22] «Google запускает расширение проверки пароля, чтобы предупредить пользователей о нарушениях данных» . BleepingComputer .

[23] Дсуза, Мелиша (6 февраля 2019 г.). «Новый chrome расширение« проверка пароля »Google проверяет, если ваше имя пользователя или пароль подвергалось воздействию третьей стороны» . Packt Hub .

[24] Ли, Люси; Приятель, Биджит; Али, Джунада; Салливан, Ник; Чаттерджи, Рахул; Ristenpart, Thomas (2019-11-06). «Протоколы для проверки скомпрометированных полномочий». Материалы конференции ACM SIGSAC 2019 года по безопасности компьютеров и коммуникаций . Нью -Йорк, Нью -Йорк, США: ACM. С. 1387–1403. Arxiv : 1905.13737 . BIBCODE : 2019ARXIV190513737L . doi : 10.1145/3319535.3354229 . ISBN 978-1-4503-6747-9 Полем S2CID 173188856 .

[25] Али, Джунада (4 марта 2020 года). «PWEND PASSTORS PADDING (Ft. Lava Lamps и работники)» . Блог CloudFlare . Получено 12 мая 2020 года .

[26] Али, Джунада (21 февраля 2018 г.). «Проверка просочившихся паролей с K-анонимностью» . Блог CloudFlare . Получено 12 мая 2020 года .

[27] Али, Джунада (5 октября 2017 г.). «Механизм предотвращения повторного использования паролей через анонимные хэши» . Peerj Preprints. doi : 10.7287/peerj.preprints.3322v1 . Получено 12 мая 2020 года . {{cite journal}}: CITE Journal требует |journal= ( помощь )

[28] Ли, Люси; Приятель, Биджит; Али, Джунада; Салливан, Ник; Чаттерджи, Рахул; Ristenpart, Томас (4 сентября 2019 г.). «Протоколы для проверки скомпрометированных полномочий». Arxiv : 1905.13737 [ Cs.cr ].

[29] Томас, Курт; Пуллман, Дженнифер; Йео, Кевин; Рагхунатан, Анант; Келли, Патрик Гейдж; Invernizzi, Luca; Бенко, Борбала; Пьетрашзек, Тадек; Патель, Сарвар; Бон, Дэн; Бурштейн, Эли (2019). Защита учетных записей от начинки учетных данных с помощью предупреждения о нарушении пароля . С. 1556–1571. ISBN 9781939133069 .

[30] Cimpanu, Каталин. «Google запускает функцию проверки пароля, добавит его в Chrome в конце этого года» . Zdnet . Получено 12 мая 2020 года .

[31] Ван, Ке Коби; Рейтер, Майкл К. (2020). Обнаружение начинки учетных данных пользователя на ее собственных учетных записях . С. 2201–2218. Arxiv : 1912.11118 . ISBN 9781939133175 .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]