I tuoi dati personali sono tra i 620 milioni di account che sono stati messi in vendita sul web oscuro?

620 Million Records For Sale On The Dark Web

Di cosa hai bisogno se vuoi mettere le mani su oltre 617 milioni di record di account rubati da 16 diversi siti web? Abbiamo una risposta sorprendentemente specifica. Hai bisogno di una connessione internet, circa 16 mila dollari di bitcoin e solo 43 GB di spazio di archiviazione gratuito sul tuo disco fisso.

I dati sono in vendita su Dream Market - un mercato del web oscuro accessibile a chiunque disponga di un browser Tor. Rivista IT online Il registro è stato il primo a riferire sui dettagli.

Cosa c è in offerta?

Ancora una volta, la risposta è piuttosto specifica. Ecco un riassunto:

  • 161 milioni di record sottratti da un applicazione di messaggistica video chiamata Dubsmash . I record includono nomi utente, indirizzi e-mail, ID utente, i paesi di residenza degli utenti e le password con hash SHA256.
  • Poco meno di 15 milioni di dischi rubati a 500px , una comunità di fotografia online. I dati compromessi includono, tra le altre cose, nomi utente, indirizzi e-mail, nome e cognome, date di nascita, hash sali e password che sono stati sottoposti a hashing con MD5, SHA512 o bcrypt.
  • Un po più di 22,3 milioni di record presi da EyeEm , un altra piattaforma online per i fotografi. La maggior parte dei record è composta da un indirizzo email e una password con hash SHA1.
  • Poco meno di 20,2 milioni di record estratti da 8fit , un app per la salute e il fitness. I dati comprendono IP, nomi, indirizzi e-mail, token di autenticazione di Facebook e informazioni da account Facebook collegati, il paese di residenza dei singoli utenti e password bcrypt-hash.
  • 16 milioni di dischi che appartengono a Fotolog , un altro social network per i fotografi. Il dump contiene nomi, domande e risposte sulla sicurezza, indirizzi e-mail, password con hash SHA256 e altre informazioni sul profilo.
  • Più di 25 milioni di record rubati da Animoto , una piattaforma per la creazione di video. I record includono nome e cognome, indirizzo e-mail, paese di residenza, data di nascita, sali hash e password hash SHA256.
  • Un po più di 92 milioni di dischi rubati da MyHeritage , una piattaforma di genealogia online. I dati includono le date in cui sono stati creati gli account compromessi, gli indirizzi e-mail, le password con hash SHA1 e i sali hash.
  • Un po più di 151 milioni di record rubati da MyFitnessPal , un app di fitness di proprietà di Under Armour. Ogni record è composto da un indirizzo IP, un ID utente, un nome utente, un indirizzo email, un valore di sale corretto per intera tabella e una password con hash SHA1.
  • 1 milione di documenti rubati da Artsy , un centro online per collezionisti arte. I record includono nomi, indirizzi email e IP, posizioni e password hash SHA512 con sali.
  • 11 milioni di record sottratti a Armor Games , un sito Web per giochi basati su browser. I dati sono costituiti da nomi utente, indirizzi e-mail, date di nascita, password e sali con hash SHA1, nonché altri dettagli del profilo.
  • 8 milioni di record presi da Bookmate , un servizio di abbonamento a eBook. La maggior parte dei record è composta da vari dettagli del profilo, nomi utente, indirizzi e-mail e password con hash SHA512 con sali.
  • Poco meno di 6,2 milioni di record da CoffeeMeetsBagel , un sito di incontri. La maggior parte dei record contiene nomi, indirizzi e-mail, date di registrazione, password con hash SHA256 e altri dettagli dell account.
  • 700 mila record sottratti a DataCamp , una piattaforma di formazione online per persone che vogliono conoscere la scienza e la programmazione dei dati. I dati rubati sono costituiti da indirizzi e-mail, password con crittografia hash e altri dettagli del profilo.
  • 28 milioni di dischi rubati da HauteLook , un azienda di e-commerce che vende vestiti e gioielli. I record contengono nomi, indirizzi email e password bcrypt-hash.
  • 41 milioni di record estratti da ShareThis , un widget per browser e piattaforme di blogging che semplifica la condivisione dei contenuti. I dati contengono nomi, nomi utente, indirizzi e-mail, date di nascita e altre informazioni del profilo, oltre alle password con hash DES.
  • Poco meno di 18 milioni di record rubati da Whitepages , un elenco telefonico e di indirizzi online. I dati sono composti da nome e cognome, indirizzi e-mail e password che sono stati sottoposti a hashing con SHA1 o bcrypt.

La maggior parte dei database è stata apparentemente ottenuta nel 2018 e possono essere acquistati singolarmente a prezzi che vanno da poco meno di $ 50 a circa $ 2000. Il venditore ha detto che qualcuno ha già acquistato i dati Dubsmash.

Nessuno sapeva della maggior parte delle violazioni

Abbiamo parlato in passato di come alcuni episodi di hacking siano rimasti sconosciuti per anni e il tesoro dei dati sopra descritti è un punto piuttosto positivo. Tra tutti i venditori che sono stati violati, solo MyFitnessPal , MyHeritage e Animoto hanno rivelato i dati trapelati anno scorso. Il resto o non sapeva degli incidenti o li stava deliberatamente nascondendo.

Ora, tutto sta venendo alla luce. Poco dopo che il rapporto del registro è uscito lunedì, 500px ha iniziato a reimpostare le password degli utenti, e da allora, EyeEm e DataCamp hanno anche iniziato a notificare i proprietari degli account interessati. Quando contattato da The Register, alcuni dei venditori hanno detto che hanno bisogno di più tempo per investigare prima di poter fare un annuncio pubblico.

Un sogno di stuffer di credenziali

Speriamo che tutte le parti interessate facciano ciò di cui hanno bisogno prima o poi perché non è dubbio che i dati siano validi e possano essere utilizzati. I nomi utente e le password sono perfetti per gli attacchi di riempimento delle credenziali, in parte perché ce ne sono così tanti, e in parte perché sono relativamente nuovi. Le raccolte trapelate che recentemente hanno fatto parecchi titoli hanno attirato molta attenzione a causa del volume di dati che contenevano. Perché i nomi utente e le password in questi dump di dati sono stati rubati anni fa, tuttavia, molti di loro sono inutili. Con queste violazioni più recenti, le possibilità di estrarre credenziali valide sono molto più significative.

Ciò è in parte dovuto alle abitudini di archiviazione delle password dei venditori. Come puoi vedere, nessuno di questi ha memorizzato le password in chiaro, il che è positivo. Molti hanno usato algoritmi di hashing deboli, tuttavia, che non sono così buoni.

MD5 e SHA1 possono essere violati con relativa facilità, e algoritmi ancora più complessi come SHA256 possono rivelarsi vulnerabili, specialmente se implementazione non è perfetta o se la password è debole. In teoria, le persone le cui password sono state sottoposte a hash con bcrypt dovrebbero essere sicure, ma anche i fornitori che hanno scelto algoritmo giusto stanno sollecitando gli utenti a cambiare le loro password.

Il prezzo dei dati personali venduti sul web oscuro

A volte, enormi quantità di informazioni personali possono essere trovate in un forum pubblico su Internet che può essere raggiunto tramite Google. Come puoi vedere, in altri casi, i dati sono venduti sul web scuro.

Non è esattamente costoso, però. Alcuni dei record in questi database contengono un sacco di informazioni personali, eppure, il prezzo medio di un singolo record è $ 0,00002. Pensa a questo la prossima volta che ti iscrivi a un nuovo servizio.

Entro il Duran
February 19, 2019
News
Italiano
February 19, 2019
News

Post popolari

Microsoft avverte che gli autori di minacce sostenute dallo...

4 days fa

Rilevamento malware Trojan Al11

11 months fa

Pinaview è un'app adware completa

10 months fa

Pop-up "Il tuo iCloud è stato violato" e "Il tuo iPhone è...

7 months fa

Cos'è Lucky Ransomware?

7 months fa

Truffa e-mail "American Express: aggiorna le informazioni del...

6 months fa
Italiano
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.