コンテンツ
- 私はPwnedの作成者であるTroy HuntがCollection#1のデータ侵害を発表しました。
- ファイルのコレクションには、何百万もの侵害された電子メールアドレスとパスワードが含まれています。
- 侵害されたデータは、おそらく2,000個のデータベースから来ています。
今日、データ侵害は非常に一般的になっているため、ほとんど無感覚になりました。ただし、セキュリティ研究者とHave I Been Pwnedの作成者であるTroy Huntが、長期にわたって被害を被るデータ侵害、コレクション#1を報告したばかりです。
コレクション#1は、クラウドストレージサービスMegaに最近アップロードされた巨大なファイルです。このファイルには、87GBのデータを含む12,000個の個別のファイルがあります。
データには何が含まれているのでしょうか? 772,904,991個の一意の電子メールアドレスと21,222,975個の一意のパスワード。重要な問題は、盗まれたパスワードに保護ハッシュがクラックされていることです。そのため、パスワードは、ウェブサイトが侵害されたときに暗号化されたハッシュではなくプレーンテキストとして表示されます。
現在、通知を購読している768,253人と、ドメインを監視している別の39,923人にメールを送信しています…
—トロイハント(@troyhunt)2019年1月16日
これらのクラックされたパスワードは、クレデンシャルスタッフィングと呼ばれる2番目の問題を許容します。資格情報のスタッフィングとは、侵害されたユーザー名またはメール/パスワードの組み合わせを使用して、他の人のアカウントにアクセスすることです。攻撃者はブルートフォースやパスワードを推測する必要はありません。ログインを自動化するだけです。
資格情報のスタッフィングは、Webサイト間で同じユーザー名とパスワードの組み合わせを使用するユーザーにとって特に重要です。
コレクション#1にほぼ27億の組み合わせが含まれているのはまさにそのためです。また、コレクション1からの約1億4,000万の電子メールアドレスと1,000万のパスワードがHave I Been Pwnedデータベースに新しく追加されたこともあります。
コレクション#1の分散化された性質も忘れないでください。以前の違反には通常、共通の銀色の裏地がありました。各違反は1つのWebサイトに結び付けられていました。この違反は、2,000のデータベースにわたる違反で構成されています。
この場合、唯一可能な銀の裏地は、ハントがコレクション#1のすべての違反が合法であるかどうかを知らないことです。ただし、ハントは、これが「HIBPにロードされる史上最大の侵害」であるとも述べています。
私は何をすべきか?
最初に、「私はPwnedされました」に進み、メールアドレスを入力します。このサイトは、そのメールアドレスを使用するアカウントが侵害されたかどうかを知らせます。
Have I Been Pwnedを既に使用している場合は、違反の通知を受け取っているはずです。サイトのユーザーのほぼ半数が侵害に巻き込まれているため、メンバーの場合はそのことに留意してください。
そこから、をクリックしますパスワード [私はPwnedされました]の上部にあるタブ。 Pwned Passwordsを使用すると、パスワードが侵害されたかどうかを知ることができ、強力なパスワードを使用できます。
侵害されたメールアドレスと侵害されたパスワードがある場合は、パスワードの慣行を整理します。サイトでサポートされている場合は、2要素認証を使用してください。それは絶対確実ではないかもしれませんが、二要素認証はあなたのアカウントへのアクセスを望むかもしれないほとんどを思いとどまらせるのに役立ちます。
複数のサイトで同じパスワードを使用しないようにすることもできます。便宜上、同じパスワードを使用するのは魅力的ですが、この練習は危険な両刃の剣です。
最後に、パスワードマネージャーを使用します。 1Password、Dashlane、LastPassは3つの人気のあるオプションですが、ペンと紙の実証済みの方法を使用することもできます。
ああ、パスワードを変更してください。パスワードを間違いなく変更してください。複雑なもの、辞書にないものを作りましょう。