stringtranslate.com

Вставка учетных данных

Подстановка учетных данных — это тип кибератаки , при которой злоумышленник собирает украденные учетные данные , обычно состоящие из списков имен пользователей или адресов электронной почты и соответствующих паролей (часто из-за утечки данных ), а затем использует учетные данные для получения несанкционированного доступа к учетным записям пользователей в других системах с помощью масштабных автоматизированных запросов на вход, направленных против веб-приложения . [1] В отличие от взлома учетных данных, атаки подстановки учетных данных не пытаются использовать грубую силу или угадывать какие-либо пароли — злоумышленник просто автоматизирует входы для большого количества (от тысяч до миллионов) ранее обнаруженных пар учетных данных, используя стандартные инструменты веб-автоматизации, такие как Selenium , cURL , PhantomJS или инструменты, разработанные специально для этих типов атак, такие как Sentry MBA, SNIPR, STORM, Blackbullet и Openbullet. [2] [3]

Атаки с использованием подстановки учетных данных возможны, поскольку многие пользователи повторно используют одну и ту же комбинацию имени пользователя и пароля на нескольких сайтах. Согласно одному опросу, 81% пользователей повторно использовали пароль на двух или более сайтах, а 25% пользователей используют одни и те же пароли в большинстве своих учетных записей. [4] В 2017 году FTC выпустила рекомендацию, в которой предлагалось предпринять компаниям конкретные действия против подстановки учетных данных, такие как настаивание на использовании надежных паролей и защита от атак. [5] По словам бывшего руководителя Google по борьбе с мошенничеством с кликами Шумана Гошемаджумдера , атаки с использованием подстановки учетных данных имеют до 2% успешных попыток входа в систему, что означает, что один миллион украденных учетных данных может захватить более 20 000 учетных записей. [6] Журнал Wired Magazine описал лучший способ защиты от подстановки учетных данных — использовать уникальные пароли для учетных записей, например, те, которые автоматически генерируются менеджером паролей , включить двухфакторную аутентификацию и заставить компании обнаруживать и останавливать атаки с использованием подстановки учетных данных. [7]

Утечка учетных данных

Утечка учетных данных, также называемая утечкой данных, возникает, когда неавторизованные лица или группы незаконно получают доступ к конфиденциальным учетным данным пользователей, которые хранятся в организациях. Такие учетные данные часто включают имена пользователей, адреса электронной почты и пароли. Последствия утечки учетных данных могут быть значительными, поскольку они обычно подвергают пользователей целому ряду опасностей, включая кражу личных данных, финансовое мошенничество и несанкционированное проникновение в учетные записи. [8]

Атаки с использованием подстановки учетных данных считаются одной из главных угроз для веб- и мобильных приложений из-за объема утечек учетных данных. Только в 2016 году в результате утечек данных в Интернете было украдено более трех миллиардов учетных данных. [9]

Источник

Термин был придуман Сумитом Агарвалом, соучредителем Shape Security, который в то время занимал должность заместителя помощника министра обороны в Пентагоне . [10]

Инциденты

20 августа 2018 года британский ритейлер товаров для здоровья и красоты Superdrug подвергся попытке шантажа, когда хакеры представили предполагаемые доказательства того, что они проникли на сайт компании и загрузили записи 20 000 пользователей. Доказательства, скорее всего, были получены путем взломов и утечек, а затем использовались в качестве источника для атак с подстановкой учетных данных, чтобы собрать информацию для создания поддельных доказательств. [11] [12]

В октябре и ноябре 2016 года злоумышленники получили доступ к частному репозиторию GitHub , используемому разработчиками Uber (Uber BV и Uber UK), используя имена пользователей и пароли сотрудников, которые были скомпрометированы в предыдущих утечках. Хакеры заявили, что взломали учетные записи 12 сотрудников, используя метод подстановки учетных данных, поскольку адреса электронной почты и пароли были повторно использованы на других платформах. Многофакторная аутентификация , хотя и была доступна, не была активирована для затронутых учетных записей. Хакеры обнаружили учетные данные для хранилища данных AWS компании в файлах репозитория, которые они использовали для получения доступа к записям 32 миллионов пользователей, не являющихся гражданами США, и 3,7 миллиона водителей, не являющихся гражданами США, а также к другим данным, содержащимся в более чем 100 контейнерах S3 . Злоумышленники оповестили Uber, потребовав выплатить 100 000 долларов за согласие удалить данные. Компания заплатила через программу вознаграждений за обнаружение ошибок , но не раскрывала инцидент пострадавшим сторонам более года. После того, как нарушение стало известно, компания была оштрафована на 385 000 фунтов стерлингов (сумма была снижена до 308 000 фунтов стерлингов) Управлением комиссара по информации Великобритании . [13]

В 2019 году исследовательская фирма по кибербезопасности Knight Lion Security заявила в своем отчете, что подстановка учетных данных была излюбленным методом атак для GnosticPlayers . [14]

Проверка скомпрометированных учетных данных

Проверка скомпрометированных учетных данных — это метод, позволяющий пользователям получать уведомления о взломе паролей веб-сайтами, веб-браузерами или расширениями паролей.

В феврале 2018 года британский ученый-компьютерщик Джунад Али создал протокол связи (использующий k -анонимность и криптографическое хеширование ) для анонимной проверки того, был ли пароль украден, без полного раскрытия искомого пароля. [15] [16] Этот протокол был реализован как публичный API и теперь используется несколькими веб-сайтами и службами, включая менеджеры паролей [17] [18] и расширения для браузеров . [19] [20] Этот подход позже был воспроизведен функцией проверки паролей Google . [21] [22] [23] Али работал с учеными Корнелльского университета над разработкой новых версий протокола, известных как сглаживание частоты (FSB) и основанное на идентификаторах (IDB). [24] В марте 2020 года в протокол было добавлено криптографическое заполнение . [25]

Реализации проверки скомпрометированных учетных данных

Смотрите также

Ссылки

  1. ^ «Вставка учетных данных». OWASP .
  2. ^ "Credential Spill Report" (PDF) . Shape Security. Январь 2017 г. стр. 23. Самый популярный инструмент для подстановки учетных данных, Sentry MBA, использует файлы «config» для целевых веб-сайтов, которые содержат всю логику последовательности входа, необходимую для автоматизации попыток входа
  3. ^ «Использование инструментов заполнения учетных данных». NCSC .
  4. ^ "Тревожный сигнал о плохих привычках пользователей в отношении паролей" (PDF) . SecureAuth. Июль 2017 г. Архивировано из оригинала (PDF) 2018-08-12 . Получено 2018-07-11 .
  5. ^ «Придерживайтесь безопасности: Требуйте надежные пароли и аутентификацию». Федеральная торговая комиссия . 2017-08-11 . Получено 2021-04-11 .
  6. ^ Ghosemajumder, Shuman (2017-12-04). «Вы не можете защитить 100% своих данных 100% времени». Harvard Business Review . ISSN  0017-8012 . Получено 2021-04-11 .
  7. ^ «Что такое набивка учетных данных?». Wired . ISSN  1059-1028 . Получено 11.04.2021 .
  8. ^ Шанкер, Эд (8 марта 2022 г.). "Credential Stuffing" . Получено 19 мая 2023 г. .
  9. ^ Чиковски, Эрика (17 января 2017 г.). «Атаки с использованием подстановки учетных данных штурмуют корпоративные системы». DarkReading . Получено 19 февраля 2017 г.
  10. ^ Таунсенд, Кевин (17 января 2017 г.). «Credential Stuffing: a Successful and Growing Attack Methodology» (Подстановка учетных данных: успешная и растущая методология атак). Security Week . Получено 19 февраля 2017 г.
  11. ^ "Супер-кружки: Хакеры утверждают, что украли 20 тыс. записей о клиентах Brit biz Superdrug". The Register .
  12. ^ «Superdrug отказывается от супервыкупа после предполагаемого суперограбления – Finance Crypto Community». 23 августа 2018 г.
  13. ^ "Уведомление о денежном штрафе (Uber)" (PDF) . Офис комиссара по информации. 27 ноября 2018 г.
  14. ^ "GnosticPlayers Часть 1: Обзор хакеров Nclay, DDB и NSFW". Night Lion Security . 2019-12-30 . Получено 2022-03-06 .
  15. ^ «Узнайте, был ли ваш пароль украден, не отправляя его на сервер». Ars Technica . Получено 24.05.2018 .
  16. ^ "1Password забивается на проверку 'pwned password' – TechCrunch". techcrunch.com . 23 февраля 2018 г. Получено 24-05-2018 .
  17. ^ "1Password интегрируется с 'Pwned Passwords' для проверки того, были ли ваши пароли украдены в сети" . Получено 24.05.2018 .
  18. ^ Конгер, Кейт. «1Password помогает вам узнать, взломан ли ваш пароль». Gizmodo . Получено 24.05.2018 .
  19. ^ Кондон, Стефани. «Okta предлагает бесплатную многофакторную аутентификацию с новым продуктом One App». ZDNet . Получено 24.05.2018 .
  20. ^ Корен, Майкл Дж. «Самая большая в мире база данных взломанных паролей теперь является расширением Chrome, которое автоматически проверяет ваши пароли». Quartz . Получено 24.05.2018 .
  21. ^ Вагенсейл I, Пол (5 февраля 2019 г.). «Новое расширение Chrome от Google находит ваши взломанные пароли». www.laptopmag.com .
  22. ^ "Google запускает расширение для проверки паролей, чтобы предупреждать пользователей об утечках данных". BleepingComputer .
  23. ^ Dsouza, Melisha (6 февраля 2019 г.). «Новое расширение Chrome от Google „Password CheckUp“ проверяет, не подвергалось ли ваше имя пользователя или пароль взлому третьей стороной». Packt Hub .
  24. ^ Ли, Люси; Пал, Биджеета; Али, Джунаде; Салливан, Ник; Чаттерджи, Рахул; Ристенпарт, Томас (2019-11-06). «Протоколы проверки скомпрометированных учетных данных». Труды конференции ACM SIGSAC 2019 года по компьютерной и коммуникационной безопасности . Нью-Йорк, штат Нью-Йорк, США: ACM. стр. 1387–1403. arXiv : 1905.13737 . Bibcode : 2019arXiv190513737L. doi : 10.1145/3319535.3354229. ISBN 978-1-4503-6747-9. S2CID  173188856.
  25. ^ Али, Джунад (4 марта 2020 г.). "Pwned Passwords Padding (ft. Lava Lamps and Workers)". Блог Cloudflare . Получено 12 мая 2020 г.
  26. ^ Али, Джунад (21 февраля 2018 г.). «Проверка утекших паролей с помощью k-Anonymity». Блог Cloudflare . Получено 12 мая 2020 г.
  27. ^ Али, Джунад (5 октября 2017 г.). «Механизм предотвращения повторного использования паролей с помощью анонимизированных хэшей». PeerJ Preprints. doi : 10.7287/peerj.preprints.3322v1 . Получено 12 мая 2020 г. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
  28. ^ Ли, Люси; Пал, Биджеета; Али, Джунаде; Салливан, Ник; Чаттерджи, Рахул; Ристенпарт, Томас (4 сентября 2019 г.). «Протоколы проверки скомпрометированных учетных данных». arXiv : 1905.13737 [cs.CR].
  29. ^ Томас, Курт; Пуллман, Дженнифер; Йео, Кевин; Рагхунатхан, Анант; Келли, Патрик Гейдж; Инверницци, Лука; Бенко, Борбала; Пьетрашек, Тадек; Патель, Сарвар; Бонех, Дэн; Бурштейн, Эли (2019). Защита учетных записей от подстановки учетных данных с помощью оповещения о нарушении пароля. стр. 1556–1571. ISBN 9781939133069.
  30. ^ Cimpanu, Catalin. «Google запускает функцию проверки паролей, добавит ее в Chrome в этом году». ZDNet . Получено 12 мая 2020 г.
  31. ^ Ван, Ке Коби; Рейтер, Майкл К. (2020). Обнаружение подстановки учетных данных пользователя в ее собственные учетные записи. стр. 2201–2218. arXiv : 1912.11118 . ISBN 9781939133175.

Внешние ссылки