多年来臭名昭著的LiveJournal违规行为助长了网络罪犯的凭据填充攻击

尽管数据泄露在远处看起来是一样的,但它们更像雪花。每次都独一无二且几乎不可预测。有些很大,有些很小。有些立即被发现,而另一些则几个月甚至几年后才被发现。有些管理得当,有些则被完全忽略。臭名昭著的LiveJournal违规行为肯定是独特的,原因有几个。其中一个被秘密保存了六年。其次,它导致成功的性别歧视和凭证填充攻击。最后,负责LiveJournal用户安全的人员坚决拒绝承担任何责任。如果您已经成为LiveJournal违规的受害者,希望您已更改了受影响的密码。如果您还没有这样做,请继续阅读以了解为什么这样做至关重要。

2014年:LiveJournal数据泄露

据信,LiveJournal违规事件发生在2014年的某个时候。由于LiveJournal(或更具体地讲是Rambler Media Group)之间的共享不多,因此无法得知与该事件有关的所有详细信息。根据ZDNet进行的研究,有2630万个唯一的密码,电子邮件地址和用户名被泄露,这是任何人的标准都违反的主要数据。看起来,当数据最初泄漏时,已使用MD5进行了加密,并且我们已经讨论了这种加密形式有多弱 。它已过时,不再符合标准。当然,早在2014年,这并不是问题。问题是没有报告LiveJournal违规。

泄密事件发生多年以来,带有纯文本密码以及匹配的用户名和电子邮件地址的文件一直在泛滥。最初,这些文件是在地下论坛上的黑客之间静默共享的。最终,这些数据被共享了很多次,其价值降至仅35美元。最终,它在线泄漏,发现包含泄漏凭据的文件免费流经Telegram频道和暗网。这是很明显发生了重大数据泄露的时候,但是我们在这里领先一步。

2018年:LiveJournal用户报告收到性侵犯电子邮件

在明显发生大规模LiveJournal违规行为之前,LiveJournal用户遭受了可怕的色情诈骗电子邮件。利用泄露的凭证,策划者能够创建虚假消息,声称已制作了收看色情内容或从事其他类似活动的收件人的视频录像。为了说服这些接收者说这些说法是真实的,策划者提供了泄露的密码。这是为了说服他们,攻击者可以访问私有和敏感数据以及对连接的网络摄像头的访问。当然,那只是一个谎言。

不幸的是,性骚扰诈骗是非常有利可图的,根据最近的一份报告,参与其中的策划人每月最多可以赚10万美元 。不用说,这不是罪犯永远不会使用的金钱,尤其是当不需要花费太多精力来创建令人信服的色情诈骗时。将来,如果您收到一封旨在通过某些泄露数据(无论是旧数据还是正在使用的数据)来恐吓您的电子邮件,请不要关注这些要求。相反,请专注于更改密码并增强帐户和使用的设备的安全性。

2019:密码公开泄漏

最终,我们进入了2019年,那时LiveJournal漏洞泄露期间密码泄露了。这是几乎在正确平台上拥有正确帐户的任何人都可以访问包含纯文本密码的文件的时候。接下来发生了什么?凭证填充攻击从左右开始。 Dreamwidth是使用LiveJournal代码库创建的博客平台,它开始报告重复发生的攻击,甚至就此向LiveJournal发出警告。

那么,什么是凭证填充?这是网络攻击的一种形式,涉及尝试使用密码和用户名的多种组合来获得帐户访问权限。为了确保该过程平稳高效,经常使用僵尸网络,僵尸网络使攻击者可以一次猜测多个组合。什么是凭证填充 ?基本上,这是一种尝试使用泄漏的数据劫持您的帐户。仅当您回收密码时才有可能,但是不幸的是,这仍然是一个大问题。在2019年, 密码回收的程度估计为72%,这令人震惊。

2020年:LiveJournal不承担责任

正如ZDNet报道的那样,LiveJournal对此违规行为不承担任何责任。实际上,这就是他们的官方声明所暗示的:“ 我们分析了出现的数据,可以说这些数据可能是使用不同的来源进行汇编的,而且大多是伪造的。 这样的疏忽肯定把数以百万计的人处于危险之中,并从2014年起,而很多人可能已经改变了密码,就必然有一些人谁继续登录使用偷来的凭据。他们中的一些人可能因此被劫持了。

尽管在2014年LiveJournal违规事件发生后更改LiveJournal密码很重要,但这可能不足以保护自己免受正在进行凭据填充攻击的黑客的攻击。所有重复的密码也必须立即更改。实际上,我们建议您借此机会使所有密码都唯一,因为您不想仅仅因为您没有想到唯一而强大的密码而将来成为凭据填充的受害者。就是说,想到独特而强大的密码说起来容易做起来难,而我们的建议是建议您使用密码管理器来帮助您完成任务。

Cyclonis Passwords Manager可以为您拥有的每个帐户生成唯一的密码,它当然也可以帮助您替换违反的LiveJournal密码。此外,它可以将您的密码锁定在一个安全的保管库中,以防止他人窃取和滥用密码而造成的其他网络威胁。一旦您照顾好自己的帐户,别忘了与博客朋友分享更改密码的重要性,并告知他们什么是凭证填充。

September 24, 2020

发表评论