Teknoloji muhabiri Matthew Sparkes, şifrelerinin ve kişisel verilerinin güvenli olduğunu düşündü, ancak internetin daha karanlık taraflarının bir turu aksi halde ortaya çıktı
Bilgisayar korsanları kişisel verilerinizin peşinde, kâr için
İyi bir karakter karışımı kullandığınızdan emin olun. Evcil hayvanınızın adından kaçının. En önemlisi, asla bir şifre yeniden kullanmayın. Hepimiz dijital krallıklarımızın anahtarlarının güvenli kalmasını sağlama kurallarını biliyoruz ve muhtemelen hepimiz onları kırıyoruz – ve bilgisayar korsanları verilerinizi satmaktan para kazanmak için süpürülüyor.
Çalınan kişisel veriler için pazar yerleri, karanlık web üzerinde gelişir, normal internetin sınırlarının ötesinde ve yalnızca ABD istihbarat teşkilatları tarafından gizli iletişim için tasarlanan TOR gibi yazılımlar aracılığıyla erişilebilir. Her şey hain değil – BBC News, örneğin baskıcı gözetim altında yaşayan insanlar için karanlık bir web sitesi işletiyor – ama çoğu.
Daha fazla bilgi edinmek için, Güvenliği test etmek için zamanını – yasal olarak – şirketlere ayıran bir şirkette etik bir hacker olan Rory Hattingh’e döndüm. Bana özel verilerimin hiçbirinin bilgisayar korsanları tarafından sızdırılmadığı “son derece küçük” bir şans olduğunu söylüyor. Teknoloji hakkında, veri ihlallerinin ne kadar yaygın olduğunu anlayacak kadar uzun süredir yazdım, ancak bunun beni içerdiği keskin gerçeklikle karşı karşıya kaldım, kuşkusuz bir uyandırma çağrısı.
Hattingh, karanlık web’de paylaşılan kullanıcı adlarını ve şifreleri tek bir aranabilir veritabanında derleyen IS PWNED (verilerinizin tehlikeye atıldığı anlamına gelen argo terimi) adlı bir web sitesi göstererek başlar. E -posta adresimi girdim ve endişe verici bir şekilde 29 hack saldırısında yakalandığını gördüm.
En son, internet arşivine saldırıya uğradığı ve e -postam ve şifrem sızdırıldığı 2024’te gerçekleşti. Ayrıntılarım ayrıca binlerce telgraf kanalından kazınan 122 gigabayt kullanıcı verisinin yanı sıra Naz.api adlı bir hacker forumuna gönderilen bir veritabanının bir parçasıydı. Listelenen diğer saldırılar, çalıntı posta adresleri, iş başlıkları, telefon numaraları, IP adresleri, şifre ipuçları ve Adobe, Dropbox ve LinkedIn gibi hizmetlerden doğum tarihlerini içeriyordu.
Teoride, bu sızıntılar sınırlı bir değere sahip: LinkedIn, örneğin, saldırıya uğrarsa ve kullanıcı adınız ve şifreniz sızdırılırsa, bu Facebook hesabınızı etkilemez. Tabii ki, aynı şifreyi tekrar tekrar kullanan insanların yüzde 60’ından fazlası değilseniz. Bu durumda, bilgisayar korsanları bu ayrıntıları alabilir ve düşünebildikleri her yerde-genellikle yıldırım hızlı, otomatik bir şekilde kullanarak internet etrafında sıçrayabilir. Sonra, Hattingh, “Çok sorun yaşıyorsun” diyor.
Bu, depolanan ödeme ayrıntılarınız, PayPal hesabınız veya kripto para cüzdanlarınızla çevrimiçi alışveriş içerebilir. Bir hesaba erişmek, e -posta ikramiyesi ile başkalarına giriş kazanmaya da yardımcı olabilir. Bir hesaptan e -posta gönderip alabildikten sonra, hane halkı faturalandırma hesaplarından ve hatta çevrimiçi bankacılıktan bahsetmemek için şifreleri sıfırlayabilir ve diğer web sitelerine girebilirsiniz. Sosyal medyaya veya e -posta hesaplarına erişimi olan bilgisayar korsanları, hızlı bir banka transferi gerektiren sahte acil durum masallarına sahip arkadaşları ve aileyi dolandırmaya çalışabilirler. Bunların gerçek bir hesaptan gelmesi, bu hilelere, çok geç olana kadar şüphenin üstesinden gelmek için yeterli olabilecek bir mantıklılık havası verir.
Daha da kötüsü, hack çeken bazı şirketler insanları bilgilendirmek ve şifrelerini değiştirmeye teşvik etmek için hızlı olmasına rağmen, diğerleri daha durgun olabilir ve insanları aylar hatta yıllarca savunmasız bırakabilir. Hattingh, önceki bir işte, isimsiz müşteriler için, çok az panikle gelen ve giden fidye yazılımı saldırıları göreceğini söylüyor. Bu saldırılar, kurbanın verilerinin şifreli ve fidye olarak tutulduğunu görüyor, bilgisayar korsanına şifre için ödeme yapmadıkça işe yaramaz hale geldi – ancak giderek daha fazla şirket bunu iş yapma maliyeti olarak görüyor.
Hattingh, “Bu şirketler yılda iki, üç kez saldırıya uğrayacaktı” diyor. “İşler ters gittiğinde bir slush fonu var. Ödüyorlar ve hayata devam ediyorlar. Ve bu her zaman dünyanın her yerinde oluyor.”
Kişisel verilerimi bu şekilde açık bir şekilde görmek için olduğu gibi, Tavuk Nuggets’ta bulabileceğiniz mekanik olarak geri kazanılmış ete benzeyen kayıtlar. Hattingh, kişisel verilerin premium bifteğinin, sofistike bilgisayar korsanlarının bir web sitesini ilk kez ihlal ettiklerinde ve onu sömürmekten kâr eden başkalarına satmak için yeni bir mesafe çaldığında geldiğini söylüyor. Bu ilk alıcılar ellerinden geleni çıkardıktan sonra, veriler tekrar tekrar satılacaktır. En karlı veri bitleri seçildikten sonra, geri kalanı bir bilgisayar korsanları forumu, telgraf kanalında veya web’in başka bir karanlık köşesinde ücretsiz olarak piyasaya sürülebilir.
Gıda zincirinden yukarı doğru ilerleyen Hattingh, bana, sadece benimsemiş olduğum gibi, aynı zamanda şifreler de dahil olmak üzere gerçek içeriklerinin sadece ihlallerinin geniş bir açıklamasını sunan Dehashed adlı ücretli bir hizmet gösterdi. Hizmetin adı, “karma” nın ortak güvenlik sürecini veya kopyalanmasını durdurmak için bir şifreyi gizlemeyi ifade eder. Fırlatma, elbette, bunu uzaklaştırır. En kötü durum olduğunu düşündüğüm şey, ama şimdi fark ediyorum aslında norm, doğru ortaya çıkıyor: E -posta adresimin yanında listelenen şifrelerden en az biri hem tanıdık hem de güncel. Teorik olarak, bilgisayar korsanlarını – ya da geçen ilgisi olan herhangi birinin – çevrimiçi hesaplarımdan en az birine giriş yapmayı durduracak hiçbir şey olmamıştı.
Dehashed, yılda 219,99 dolara mal olan ve “kolluk kuvvetleri ve Fortune 500 şirketleri” için olduğunu iddia eden ücretli bir hizmettir. Şirketle temasa geçtim, kuşkusuz sadece başka bir yerde sızdırılan ayrıntıları harmanlayan araçlarının bilgisayar korsanları ve güvenlik çalışanları için yararlı olabileceğinden endişe duyup duymadım. Yanıt almadım.
Karanlık ağa daha derine inmem gerektiğine karar verdim. Anish Chauhan ile, ekibinin ısmarlama yazılımı tarafından gerçekleştirilen ve şimdiye kadar gördüğüm ticari araçlardan daha derin ve daha derin bir şekilde sürünen bir aramanın sonuçlarını gösteren denge güvenlik hizmetlerinde konuştum. Çevrimiçi hesaplarımla bağlantılı 24 şifre bulmuştu.
Chauhan, “Kullanıcılar ‘200 karakterli bir şifrem var, hiç kimse bunu kaba bir kuvvet olmayacak’ diyebilirler. “Ama daha sonra bunu kullandıkları her web sitesinde kullanıyorlar. Bu gerçekten alakasız hale getiriyor, çünkü sonunda ihlal edilecek. İnsanlar olarak en az direniş yolunu alıyoruz, biliyor musunuz?”
Chauhan, çözümün nispeten basit olduğunu ve hepimizin daha önce duyduğunu söylüyor: Her hesap için farklı bir şifre kullanın. Ayrıntılarımın nasıl yaygın bir şekilde paylaşıldığını gördükten sonra, bunun neden önemli olduğu açık bir şekilde anlaşılıyor.
Mesele şu ki, bunu kolaylaştırmak için araçlar zaten orada – çoğu modern cihaz ve internet tarayıcıları, rastgele güçlü şifreler üreten ve hepsini sizin için hatırlayan bir şifre yöneticisi ile gelmelidir. Şifrelerinizin zaten sızdırıldığından endişe ediyorsanız, bir sızıntı kanıtı için internetin hain bölgelerini inceleyen daha kapsamlı hizmetler için ödeme yapmam veya ödeme yapmam için kontrol etmeye değer olabilir.
Son yıllarda, güçlü şifreler oluşturmak ve bunları benim için düzenlemek için bir şifre yöneticisi kullandım, ancak uzun zamandır kullandığım bazı hizmetlerin eski ve hacklenen girişlerle iltihap vermesine izin verildiğini anlıyorum. Bir akşamı düzelterek geçiriyorum, en azından bu makale yayınlanmadan önce hazırlıklı olmak istediğim için.
Ama kendimi çok fazla dövmüyorum. Yeni giriş detayları bulmak için sonsuz taleplerle karşı karşıya, bazen kolay yoldan çıkmamız şaşırtıcı değil. Bunu yaparken kesinlikle yalnız değilim.
Hattingh, “Oldukça teknoloji meraklısı bir insanım ve şifrelerimi zar zor değiştiriyorum” diyor. “İş için değiştiriyorum, ama kişisel hayatımda biraz daha tembelim.”
