Jump to content

Вброс учетных данных

Подстановка учетных данных — это тип кибератаки , при которой злоумышленник собирает украденные учетные данные , обычно состоящие из списков имен пользователей или адресов электронной почты и соответствующих паролей (часто в результате утечки данных ), а затем использует учетные данные для получения несанкционированного доступа к учетным записям пользователей на другие системы посредством крупномасштабных автоматических запросов на вход в систему, направленных против веб-приложения . [1] В отличие от взлома учетных данных, атаки с подбросом учетных данных не пытаются использовать грубую силу или угадывать какие-либо пароли — злоумышленник просто автоматизирует вход в систему для большого количества (от тысяч до миллионов) ранее обнаруженных пар учетных данных, используя стандартные инструменты веб-автоматизации, такие как Selenium , cURL , PhantomJS или инструменты, разработанные специально для этих типов атак, такие как Sentry MBA, SNIPR, STORM, Blackbullet и Openbullet. [2] [3]

Атаки с подтасовкой учетных данных возможны, поскольку многие пользователи повторно используют одну и ту же комбинацию имени пользователя и пароля на нескольких сайтах. По данным одного опроса, 81% пользователей повторно использовали пароль на двух или более сайтах, а 25% пользователей используют одни и те же пароли на большинстве сайтов. их счета. [4] В 2017 году Федеральная торговая комиссия выпустила рекомендацию, в которой предлагались конкретные действия, которые компаниям следует предпринять против подтасовки учетных данных, например, настаивать на использовании надежных паролей и защищаться от атак. [5] По словам бывшего Google царя по мошенничеству с кликами Шумана Госемаджумдера , вероятность успешного входа в систему с помощью атак с подстановкой учетных данных составляет до 2%, а это означает, что один миллион украденных учетных данных может захватить более 20 000 учетных записей. [6] Журнал Wired Magazine описал лучший способ защиты от подстановки учетных данных — использовать уникальные пароли для учетных записей, например те, которые автоматически генерируются менеджером паролей , включить двухфакторную аутентификацию , а также поручить компаниям обнаруживать и останавливать атаки с подстановкой учетных данных. [7]

Утечка учетных данных

[ редактировать ]

Утечка учетных данных, также называемая нарушением или утечкой данных, возникает, когда неавторизованные лица или группы незаконно получают доступ к конфиденциальным учетным данным пользователей, которые хранят организации. Такие учетные данные часто включают имена пользователей, адреса электронной почты и пароли. Последствия утечки учетных данных могут быть значительными, поскольку они обычно подвергают пользователей ряду опасностей, включая кражу личных данных, финансовое мошенничество и несанкционированное проникновение в учетную запись. [8]

Атаки с подбросом учетных данных считаются одной из главных угроз для веб- и мобильных приложений из-за большого объема утечки учетных данных. Только в 2016 году в результате утечек данных в Интернете было утеряно более трех миллиардов учетных данных. [9]

Источник

[ редактировать ]

Этот термин был придуман Сумитом Агарвалом, соучредителем Shape Security, который занимал должность заместителя помощника министра обороны в Пентагоне . в то время [10]

Инциденты

[ редактировать ]

20 августа 2018 года британский ритейлер товаров для здоровья и красоты Superdrug подвергся попытке шантажа: хакеры представили предполагаемые доказательства того, что они проникли на сайт компании и загрузили записи 20 000 пользователей. Доказательства, скорее всего, были получены в результате хакерских атак и утечки информации, а затем использовались в качестве источника для атак с подтасовкой учетных данных с целью сбора информации для создания фиктивных доказательств. [11] [12]

В октябре и ноябре 2016 года злоумышленники получили доступ к частному репозиторию GitHub , используемому разработчиками Uber (Uber BV и Uber UK), используя имена пользователей и пароли сотрудников, которые были скомпрометированы в ходе предыдущих взломов. Хакеры заявили, что взломали учетные записи 12 сотрудников, используя метод подброса учетных данных, поскольку адреса электронной почты и пароли повторно использовались на других платформах. Многофакторная аутентификация , хотя и была доступна, не была активирована для затронутых учетных записей. компании Хакеры обнаружили учетные данные для хранилища данных AWS в файлах репозитория, которые они использовали для получения доступа к записям 32 миллионов пользователей за пределами США и 3,7 миллиона водителей за пределами США, а также к другим данным, содержащимся в более чем 100 S3 корзинах . Злоумышленники предупредили Uber, потребовав выплату 100 000 долларов за согласие на удаление данных. Компания заплатила через программу вознаграждений за обнаружение ошибок , но не раскрывала информацию об инциденте пострадавшим сторонам более года. После того, как о нарушении стало известно, Великобритания оштрафовала компанию на 385 000 фунтов стерлингов (снижена до 308 000 фунтов стерлингов). Управление комиссара по информации . [13]

В 2019 году исследовательская фирма по кибербезопасности Knight Lion Security заявила в отчете, что подстановка учетных данных является предпочтительным методом атаки для GnosticPlayers . [14]

Скомпрометированная проверка учетных данных

[ редактировать ]

Проверка скомпрометированных учетных данных — это метод, позволяющий пользователям получать уведомления о взломе паролей веб-сайтами, веб-браузерами или расширениями паролей.

В феврале 2018 года британский ученый-компьютерщик Джунад Али создал протокол связи (с использованием k -анонимности и криптографического хеширования ) для анонимной проверки того, была ли утечка пароля, без полного раскрытия искомого пароля. [15] [16] Этот протокол был реализован как общедоступный API и теперь используется множеством веб-сайтов и служб, включая менеджеры паролей. [17] [18] и расширения браузера . [19] [20] Позже этот подход был воспроизведен функцией проверки пароля Google . [21] [22] [23] Али работал с учеными из Корнелльского университета над разработкой новых версий протокола, известного как сегментирование с частотным сглаживанием (FSB) и сегментирование на основе идентификаторов (IDB). [24] В марте 2020 года криптографическое заполнение . в протокол было добавлено [25]

Скомпрометированные реализации проверки учетных данных

[ редактировать ]
Протокол Разработчики Обнародовано Ссылки
k-анонимность Джунаде Али ( Cloudflare ), Трой Хант ( Меня наказали? ) 21 февраля 2018 г. [26] [27]
Бакетизация со сглаживанием частоты и бакетизация на основе идентификатора Корнельский университет (Люси Ли, Биджита Пал, Рахул Чаттерджи, Томас Ристенпарт), Cloudflare (Джунаде Али, Ник Салливан) май 2019 г. [28]
Проверка пароля Google (GPC) Google , Стэнфордский университет август 2019 г. [29] [30]
Активное обнаружение заполнения учетных данных Университет Северной Каролины в Чапел-Хилл (Ке Коби Ван, Майкл К. Рейтер) декабрь 2019 г. [31]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «Вброс учетных данных» . ОВАСП .
  2. ^ «Отчет о разливе учетных данных» (PDF) . Безопасность формы. Январь 2017. с. 23. Самый популярный инструмент для подкачки учетных данных, Sentry MBA, использует файлы конфигурации для целевых веб-сайтов, которые содержат всю логику последовательности входа в систему, необходимую для автоматизации попыток входа в систему.
  3. ^ «Использование инструментов вставки учетных данных» . НКСК .
  4. ^ «Тревожный сигнал о неправильных привычках пользователей к паролям» (PDF) . SecureAuth. Июль 2017 г. Архивировано из оригинала (PDF) 12 августа 2018 г. Проверено 11 июля 2018 г.
  5. ^ «Придерживайтесь безопасности: требуйте надежные пароли и аутентификацию» . Федеральная торговая комиссия . 11 августа 2017 г. Проверено 11 апреля 2021 г.
  6. ^ Госемаджумдер, Шуман (04 декабря 2017 г.). «Вы не можете защитить 100% своих данных в 100% случаев» . Гарвардское деловое обозрение . ISSN   0017-8012 . Проверено 11 апреля 2021 г.
  7. ^ «Что такое вброс учетных данных?» . Проводной . ISSN   1059-1028 . Проверено 11 апреля 2021 г.
  8. ^ Шанкер, Эд (8 марта 2022 г.). «Вброс учетных данных» . Проверено 19 мая 2023 г.
  9. ^ Чиковски, Эрика (17 января 2017 г.). «Атаки с подстановкой учетных данных штурмуют корпоративные системы» . Темное чтение . Проверено 19 февраля 2017 г.
  10. ^ Таунсенд, Кевин (17 января 2017 г.). «Подстановка учетных данных: успешная и растущая методология атак» . Неделя безопасности . Проверено 19 февраля 2017 г.
  11. ^ «Суперкружки: хакеры утверждают, что похитили записи о 20 тысячах клиентов британской компании Superdrug» . Регистр .
  12. ^ «Superdrug отвергает супервыкуп после предполагаемого суперограбления – сообщество Finance Crypto» . 23 августа 2018 г.
  13. ^ «Уведомление о денежном штрафе (Uber)» (PDF) . Управление комиссара по информации. 27 ноября 2018 г.
  14. ^ «GnosticPlayers. Часть 1: Обзор хакеров Nclay, DDB и NSFW» . Охрана Ночного Льва . 30 декабря 2019 г. Проверено 06 марта 2022 г.
  15. ^ «Узнайте, был ли взломан ваш пароль, не отправляя его на сервер» . Арс Техника . Проверено 24 мая 2018 г.
  16. ^ «1Password срывается с проверкой «взломанного пароля» – TechCrunch» . techcrunch.com . 23 февраля 2018 года . Проверено 24 мая 2018 г.
  17. ^ «1Password интегрируется с «Pwned паролями», чтобы проверить, не были ли ваши пароли утекли в Интернет» . Проверено 24 мая 2018 г.
  18. ^ Конгер, Кейт. «1Password поможет вам узнать, взломан ли ваш пароль» . Гизмодо . Проверено 24 мая 2018 г.
  19. ^ Кондон, Стефани. «Okta предлагает бесплатную многофакторную аутентификацию с новым продуктом One App» . ЗДНет . Проверено 24 мая 2018 г.
  20. ^ Корен, Майкл Дж. «Самая большая в мире база данных взломанных паролей теперь представляет собой расширение Chrome, которое автоматически проверяет ваши пароли» . Кварц . Проверено 24 мая 2018 г.
  21. ^ Вагенсейль I, Пол (5 февраля 2019 г.). «Новое расширение Google для Chrome находит ваши взломанные пароли» . www.laptopmag.com .
  22. ^ «Google запускает расширение для проверки паролей, чтобы предупреждать пользователей об утечках данных» . Мигающий компьютер .
  23. ^ Дсуза, Мелиша (6 февраля 2019 г.). «Новое расширение Google для Chrome «Проверка пароля» проверяет, не было ли ваше имя пользователя или пароль взломано третьей стороной» . Пакетный хаб .
  24. ^ Ли, Люси; Пал, Биджита; Али, Джунаде; Салливан, Ник; Чаттерджи, Рахул; Ристенпарт, Томас (06 ноября 2019 г.). «Протоколы проверки скомпрометированных учетных данных». Материалы конференции ACM SIGSAC 2019 по компьютерной и коммуникационной безопасности . Нью-Йорк, штат Нью-Йорк, США: ACM. стр. 1387–1403. arXiv : 1905.13737 . Бибкод : 2019arXiv190513737L . дои : 10.1145/3319535.3354229 . ISBN  978-1-4503-6747-9 . S2CID   173188856 .
  25. ^ Али, Джунаде (4 марта 2020 г.). «Заполнение паролей (при участии лавовых ламп и рабочих)» . Блог Cloudflare . Проверено 12 мая 2020 г.
  26. ^ Али, Джунаде (21 февраля 2018 г.). «Проверка утекших паролей с помощью k-Anonymity» . Блог Cloudflare . Проверено 12 мая 2020 г.
  27. ^ Али, Джунаде (5 октября 2017 г.). «Механизм предотвращения повторного использования паролей посредством анонимизированных хешей» . Препринты PeerJ. doi : 10.7287/peerj.preprints.3322v1 . Проверено 12 мая 2020 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  28. ^ Ли, Люси; Пал, Биджита; Али, Джунаде; Салливан, Ник; Чаттерджи, Рахул; Ристенпарт, Томас (4 сентября 2019 г.). «Протоколы проверки скомпрометированных учетных данных». arXiv : 1905.13737 [ cs.CR ].
  29. ^ Томас, Курт; Пуллман, Дженнифер; Эй, Кевин; Рагунатан, Анант; Келли, Патрик Гейдж; Инверницци, Лука; Бенко, Борбала; Петрашек, Тадек; Патель, Сарвар; Боне, Дэн; Бурштейн, Эли (2019). Защита учетных записей от подброса учетных данных с помощью оповещения о взломе пароля . стр. 1556–1571. ISBN  9781939133069 .
  30. ^ Чимпану, Каталин. «Google запускает функцию проверки пароля и добавит ее в Chrome позднее в этом году» . ЗДНет . Проверено 12 мая 2020 г.
  31. ^ Ван, Ке Коби; Райтер, Майкл К. (2020). Обнаружение подброса учетных данных пользователя в его собственных учетных записях . стр. 2201–2218. arXiv : 1912.11118 . ISBN  9781939133175 .
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Credential_stuffing&oldid=1232783615"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 644b2756571caaf515a4fc963b4c44e6__1720183320
URL1:https://arc.ask3.ru/arc/aa/64/e6/644b2756571caaf515a4fc963b4c44e6.html
Заголовок, (Title) документа по адресу, URL1:
Credential stuffing - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)