La tristement célèbre violation de LiveJournal a aidé les cybercriminels dans des attaques de bourrage d'informations d'identification pendant des années

Bien que les violations de données puissent se ressembler de loin, elles ressemblent davantage à des flocons de neige. Unique et à peu près imprévisible à chaque fois. Certains sont grands et certains sont petits. Certains sont découverts tout de suite, et d'autres sont révélés des mois, voire des années plus tard. Certains sont gérés correctement et d'autres sont complètement ignorés. La tristement célèbre violation de LiveJournal est certainement unique pour plusieurs raisons. D'une part, il a été gardé secret pendant six ans. Deuxièmement, cela a conduit à des attaques réussies de sextorsion et de bourrage d'informations d'identification. Enfin, les responsables de la sécurité des utilisateurs de LiveJournal ont catégoriquement refusé de prendre toute responsabilité. J'espère que vous avez changé les mots de passe concernés si vous êtes déjà victime de la violation de LiveJournal. Si vous ne l'avez pas encore fait, continuez à lire pour savoir pourquoi cela est crucial.

2014: Violation de données LiveJournal

On pense que la violation de LiveJournal s'est produite à un moment donné en 2014. Il est impossible de connaître tous les détails relatifs à l'incident, étant donné que LiveJournal - ou Rambler Media Group, plus précisément - n'a pas beaucoup partagé. Selon les recherches menées par ZDNet , 26,3 millions de mots de passe, d'adresses e-mail et de noms d'utilisateur uniques ont été divulgués, ce qui constitue une violation de données majeure selon les normes de quiconque. Il semble que lorsque les données ont été divulguées initialement, elles ont été cryptées avec MD5, et nous avons déjà discuté de la faiblesse de cette forme de cryptage . Il est dépassé et n'est plus conforme aux normes. Bien sûr, en 2014, ce n'était pas un problème. Le problème est que la violation de LiveJournal n'a pas été signalée.

Pendant des années après la violation, des fichiers avec des mots de passe en texte brut et les noms d'utilisateur et adresses e-mail correspondants flottaient. Au début, ces fichiers étaient partagés entre les pirates sur des forums souterrains en silence. Finalement, les données ont été partagées tellement de fois que leur valeur est tombée à seulement 35 $. Enfin, il a été divulgué en ligne et des fichiers contenant les informations d'identification divulguées ont été trouvés circulant gratuitement sur les canaux Telegram et le Web sombre. C'est à ce moment-là qu'il est devenu clair qu'une violation de données majeure s'est produite, mais nous prenons une longueur d'avance ici.

2018: les utilisateurs de LiveJournal rapportent avoir reçu des e-mails de sextorsion

Avant qu'il ne devienne évident qu'une violation massive de LiveJournal se soit produite, les utilisateurs de LiveJournal ont été soumis à des courriels d'arnaque de sextorsion effrayants. En utilisant les informations d'identification divulguées, les intrigants ont pu créer de faux messages affirmant que des enregistrements vidéo des destinataires visionnant du contenu pornographique ou se livrant à d'autres activités similaires avaient été réalisés. Pour convaincre ces destinataires que les affirmations étaient vraies, les intrigants ont inclus les mots de passe violés. Cela visait à les convaincre que les données privées et sensibles, ainsi que l'accès à la caméra Web connectée, étaient accessibles aux attaquants. Bien sûr, ce n'était qu'un mensonge.

Malheureusement, les escroqueries par sextorsion sont assez lucratives et, selon un rapport récent, les intrigants impliqués peuvent gagner jusqu'à 100 000 dollars par mois . Inutile de dire que ce n'est pas le genre d'argent que les criminels pourraient jamais laisser passer, surtout quand il n'y a pas beaucoup d'efforts à faire pour créer des escroqueries crédibles par sextorsion. À l'avenir, si jamais vous recevez un e-mail destiné à vous intimider à l'aide de certaines données violées (qu'elles soient anciennes ou en cours d'utilisation), ne faites pas attention aux demandes. Concentrez-vous plutôt sur la modification de vos mots de passe et le renforcement de la sécurité de vos comptes et des appareils utilisés.

2019: les mots de passe sont divulgués publiquement

Enfin, nous arrivons à 2019, date à laquelle les mots de passe ont été divulgués lors de la violation de LiveJournal. C'est à ce moment que quasiment toute personne possédant les bons comptes sur les bonnes plates-formes pourrait mettre la main sur les fichiers contenant des mots de passe en texte brut. Que s'est-il passé ensuite? Les attaques de bourrage d'informations d'identification ont commencé à venir de gauche à droite. Dreamwidth - qui est une plate-forme de blogs créée à l'aide de la base de code LiveJournal - a commencé à signaler des attaques récurrentes et a même averti LiveJournal à ce sujet.

Alors, qu'est-ce que le bourrage d'informations d'identification? Il s'agit d'une forme de cyberattaque qui consiste à essayer plusieurs combinaisons de mots de passe et de noms d'utilisateur pour accéder au compte. Pour s'assurer que le processus est fluide et efficace, des botnets sont souvent utilisés, ce qui permet aux attaquants de deviner plusieurs combinaisons à la fois. Qu'est-ce que le bourrage d'informations d'identification ? Fondamentalement, il s'agit d'une tentative de piratage de vos comptes en utilisant des données divulguées. Cela n'est possible que si vous recyclez les mots de passe, ce qui, malheureusement, reste un problème majeur. En 2019, l'ampleur du recyclage des mots de passe était estimée à 72%, ce qui est choquant.

2020: LiveJournal ne prend pas la faute

Comme ZDNet l'a rapporté, LiveJournal n'a pris aucune responsabilité pour la violation. En fait, c'est ce que leur déclaration officielle suggérait: « Nous avons analysé les données apparues et pouvons dire que les données peuvent être compilées en utilisant différentes sources et pour la plupart falsifiées. « Ce type de négligence a certainement mis des millions de personnes en danger, et si beaucoup d'entre elles ont peut-être changé de mot de passe depuis 2014, certaines personnes continuent de se connecter en utilisant des informations d'identification volées. Certains d'entre eux ont peut-être vu leurs comptes piratés à cause de cela.

Bien que changer les mots de passe LiveJournal soit important après la violation de LiveJournal 2014, cela pourrait ne pas être suffisant pour vous protéger contre les pirates qui mènent des attaques de bourrage d'informations d'identification. Tous les mots de passe dupliqués DOIVENT également être modifiés immédiatement. En fait, nous vous suggérons de saisir cette opportunité pour rendre tous vos mots de passe uniques, car vous ne voulez pas devenir victime de bourrage d'informations d'identification à l'avenir simplement parce que vous n'avez pas pensé à des mots de passe uniques et forts. Cela dit, penser à des mots de passe uniques et forts est plus facile à dire qu'à faire, et notre recommandation est que vous utilisiez un gestionnaire de mots de passe pour vous aider dans cette tâche.

Cyclonis Passwords Manager peut générer des mots de passe uniques pour chaque compte que vous possédez, et il peut certainement vous aider à remplacer un mot de passe LiveJournal violé également. De plus, il peut verrouiller vos mots de passe dans un coffre-fort sécurisé pour les protéger contre d'autres types de cybermenaces créées pour voler et abuser des mots de passe. Une fois que vous vous êtes occupé de vos propres comptes, n'oubliez pas de partager l'importance de changer les mots de passe avec vos amis blogueurs, et informez-les également de ce qu'est le bourrage d'informations d'identification.

September 24, 2020
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.