Afgelopen nacht een anonieme hacker beweerde in bezit te zijn van 7 miljoen wachtwoorden voor Dropbox-accounts. Hoewel die bewering waarschijnlijk onjuist was, toont het de steeds vaker voorkomende manier aan die hackers gebruiken om toegang te krijgen tot uw wachtwoorden.
De hacker plaatste ongeveer 400 gebruikersnamen en wachtwoorden op de anonieme notitiesite Pastebin in een reeks 'teasers' voor de hoofdlijst. Sommige Reddit-gebruikers konden zich met succes aanmelden bij Dropbox met behulp van de informatie die was gepost voordat het bedrijf alle gelekte wachtwoorden deactiveerde.
Maar Dropbox trok snel de beweringen in twijfel , ontkende dat het was gehackt en beweerde dat veel van de gebruikersnamen en wachtwoorden niet eens gerelateerd waren aan Dropbox-accounts.
Dus waar komen de wachtwoorden vandaan? Ze hebben tenslotte een tijd gewerkt.
De meest waarschijnlijke bron van de informatie is een site van derden met een slechte beveiliging. Hackers weten dat de meeste internetgebruikers hun wachtwoord opnieuw gebruiken, dus richten ze zich vaak op kleinere apps die zijn gemaakt door amateurontwikkelaars. Deze gemakkelijke doelen zijn slecht beveiligd, dus gebruikersnamen, wachtwoorden of bestanden kunnen zo worden opgeslagen dat hackers ze gemakkelijk kunnen stelen.
De recente Snapchat-hack , waarbij bijna 100.000 privéfoto's en -video's online werden geplaatst, gebeurde omdat een amateurontwikkelaar zijn website niet veilig had opgezet. In een bericht op de Snapsaved Facebook-pagina , legt de anonieme oprichter van de site uit dat een verkeerd geconfigureerde Apache-server de bestanden kwetsbaar maakte voor hackers.
Hackers hoeven zich niet meer te richten op de techreuzen. Waarom zou u proberen de servers van Google, Apple of Facebook te hacken als u gewoon kunt profiteren van een slecht gebouwde website om dezelfde informatie te krijgen?
We zien nu dat hackers een nieuwe aanpak gebruiken. In plaats van maanden bezig te zijn met het vinden van kwetsbaarheden op grote sites, hergebruiken ze inloggegevens die zijn gestolen uit amateur-apps van derden. De kans is groot dat de informatie voor meerdere sites werkt, dus als u deze caches met gegevens samenvoegt, kunt u snel een lijst met miljoenen wachtwoorden maken.
In september, Russische hackers hebben een lijst gepubliceerd van 5 miljoen wachtwoorden voor verschillende e-mailproviders, waaronder Gmail. Het was geen nieuw lek, maar een verzameling oudere wachtwoordlekken die bij elkaar waren gecompileerd om er als nieuw uit te zien. Natuurlijk waren veel van de e-mailaccounts gesloten, maar de informatie kon nog steeds worden gedownload en door hackers worden gebruikt om in andere accounts in te breken.
Dus waarom hergebruiken hackers oude informatie? Er is zelden bewijs dat ze de wachtwoorden daadwerkelijk gebruiken om in te loggen op sites. In plaats daarvan lijkt het alsof ze de informatie gewoon online plaatsen. Of in ieder geval plaatsen ze een deel van de informatie online. Zoals we eerder vermeldden, lekken hackers een gedeeltelijke verzameling van wachtwoorden als 'teasers'. Dit gaat vaak gepaard met een verzoek om Bitcoin-donaties.
We kunnen het openbare karakter van Bitcoin-adressen gebruiken om te zien hoeveel hackers winnen door wachtwoorden online te plaatsen. Het is vaak minder dan ze verwachten te ontvangen. De hacker die de verzameling Dropbox-wachtwoorden heeft gedeeld kreeg slechts 8 cent . Evenzo, OriginalGuy, de anonieme forumposter achter de eerste golf van gehackte iCloud-foto's van beroemdheden, sprak zijn ongenoegen uit over het kleine stroompje donaties dat op zijn pad kwam en merkte op:
Natuurlijk kreeg ik $ 120 met mijn Bitcoin-adres, maar als je bedenkt hoeveel tijd er is besteed aan het verwerven van dit spul (ik ben niet de hacker, maar een verzamelaar) en het geld (ik heb ook veel via Bitcoin betaald om zeker te zijn sets toen dit spul op vrijdag/zaterdag privé werd verhandeld) kwam ik echt niet in de buurt van waar ik op hoopte.
We zien steeds meer wachtwoorden online lekken. Amateurontwikkelaars voeren de wachtwoordbeveiliging niet op en bestaande lekken blijven de kop opsteken. Hoewel de openbaar gemaakte informatie vaak meerdere jaren verouderd is (veel van de e-mails die samen met de Dropbox-wachtwoorden zijn gepost, zijn in 2012 gedeactiveerd), is het nog steeds waardevol voor hackers die grote lijsten met e-mailadressen en wachtwoorden samenstellen die kunnen worden gebruikt bij aanvallen op andere sites .
En, voor het geval het niet duidelijk is, dit is ook jouw schuld: als je dezelfde wachtwoorden steeds opnieuw gebruikt met verschillende apps, hoeven hackers niet in de servers van Apple of Facebook te komen om ze te vinden. Ze identificeren eenvoudigweg de kleinere apps met de zwakste wachtwoordbeveiliging.
--Dit verhaal verscheen voor het eerst op Business insider.
