En hacker som gjort sig en förmögenhet genom att bryta sig in i folks konton och publicera spam på deras vägnar varnar nu för användare mot att återanvända lösenord.
Kyle Milliken, en 29-årig Arkansas man, släpptes i förra veckan från en federal arbete camp. Han tjänade 17 månader för dataintrång till servrar på flera företag och stjäla deras användare databaser.
Några av de offer som ingår Disqus, där han stal 17,5 miljoner användare, Kickstarter, där han tog 5,2 miljoner poster, och Imgur, med 1,7 miljoner poster.
För år, Milliken och hans partner drivs med hjälp av referenser stulna från andra företag för att bryta sig in mer lukrativa konton på andra tjänster.
Om användarna hade återanvändas sina lösenord, Milliken skulle komma åt sin inkorg för e-post, Facebook, Twitter eller Myspace konton och skicka skräppost främja olika produkter och tjänster.
Från 2010 till 2014, Milliken och hans kollegor fört en framgångsrik spam kampanj med hjälp av detta enkla system, vilket gör mer än $1,4 miljoner i vinst, och det goda livet.
Myndigheterna till slut fångas upp med hacker. Han greps i 2014, och samarbetat med myndigheterna för nästa år, fram till förra året, då det läckt ut att han samarbetat med myndigheterna och var blackballed om it-relaterad brottslighet underground.
En vit hatt karriär
Nu, Milliken är ute och letar efter ett nytt liv. Men den här gången är han inte intresserad av att bryta mot lagen. I en intervju med ZDNet förra veckan, Milliken sade att han planerar att gå tillbaka till skolan och sedan påbörja en karriär inom it-säkerhet.
“Just nu är jag gå tillbaka till grunderna och studera alla möjliga säkerhet certifiering,” Milliken sagt. “Att vara en 16-årig high school dropout utan någon formell utbildning jag var tvungen att dekonstruera och att lära mig allt som jag vet om cybersäkerhet.
“Det finns några luckor som jag behöver till nära att jag inte var orolig för när jag var mitt i min hacka och spam karriär.”
Vilken typ av karriär, han är ännu inte bestämt, men Milliken kommer inte att vara den första före detta hacker för att byta sida. Många har gjort det före honom, med de flesta (i)kända fallet är Hector “Sabu” Monsegur, en tidigare medlem av LulzSec hacka besättningen, som nu är en person som är heltidsanställd för Rhino Security Labs, en ledande cloud security pen-test fast.
En ursäkt
Men under tiden, Milliken har också varit att ändras och visar alla att han är redo att vända ett nytt blad. Till att börja med, han offentligt bad om ursäkt för att Kicken VD på Twitter.
Jag ber om ursäkt.
— Kyle Milliken (@hackme) 4 September 2019
“Jag har haft mycket tid att reflektera och se saker från ett annat perspektiv,” Milliken berättade ZDNet. “När du hackar eller att ha ett mål att dumpa en databas, behöver du inte fundera på vem som är på den andra änden. Det finns en massa duktiga människor, massor av arbete och ännu mer pengar som går till att skapa ett företag.
“Jag har aldrig trott att den typ av kaos ett brott mot säkerheten skulle medföra för alla de människor som arbetar så hårt och är stolta över att bygga sina företag. I det ögonblick dessa är inte saker som du funderar på. Som sagt det är lite av ånger för att sätta dessa människor genom cyber helvetet.”
Lösenord återanvändning
Men medan Milliken är att få sitt nya liv i sin ordning, han dela med sig av lite tips och råd med andra människor som han hackade i det förflutna-nämligen vanliga användare.
Hans råd är enkelt. Sluta återanvända lösenord och aktivera tvåfaktorsautentisering (2FA).
Om någon skulle ha gett detta råd till användare när Milliken fortfarande var aktiv, tillbaka i dag, skulle han ha varit långt mindre framgångsrika.
Men, Milliken var aktiv i en tid när hackare hade ännu inte gjort en enda röra av internet. Då var det normala för användare att återanvända lösenord, och det var inte en ogillande praktiken som det är idag.
Sedan dess miljarder användaruppgifter har blivit dumpad i det offentliga rummet och är tillgängliga för alla hackare över hela världen. De flesta hackare har tillgång till tjänster som säljer organiserade posterna för alla användare, och visar alla lösenord ett potentiellt mål kan ha används i det förflutna. Detta gör att nästan vem som helst att delta i lösenord återanvändning riskerar att få sina konton tagit över.
“Återanvändning av inloggningsuppgifter i min mening är den största säkerhetsbrist som vi har idag,” Milliken sagt. “När jag var hacking jag hade min egen personliga samling av databaser som jag lätt kunde söka för ett företags e-post och analysera alla data.
“Det tar bara en anställd för att återanvända samma lösenord har potentiell tillgång till att hacka allt som du letar efter.
“Det är inte bara de återanvänder inloggningsuppgifter en enorm utsatthet, men även med hjälp av samma mönster av lösenord är ett stort misstag,” Milliken läggas till. “Till exempel, säga att dina inloggningsuppgifter finns i flera databaser och ditt lösenord för Google är “KyleGm1!” och för Twitter att det är ” KyleTw1!’.
“Med denna information vet vi ditt lösenord för Facebook är mer än sannolikt” KyleFb1!’,” sade han.
“Nu när det finns miljarder av register som läckt ut från tusentals webbplatser är det ännu lättare för vem som helst att bryta mot nästan alla företag eller en webbplats reda på det.”
Två-faktor autentisering
Milliken sade att lösenord återanvändning skulle kunna åtgärdas genom en bättre utbildning, men det är också en säkerhetsfunktion som gjorde att hans liv som en hacker, en levande helvete.
“Det som jag föraktade var 2FA,” före detta hacker sade, “SMS-verifiering specifikt.
“Jag tror ärligt talat att de tre stora leverantörer av e-posttjänster (Microsoft, Yahoo, Google) har lagt till denna funktion på grund av mig. Jag blev logga in miljontals e-postkonton och verkligen orsakar kaos med min kontakt e-post spam.”
Men medan det är högst osannolikt att dessa företag till 2FA stöd på grund av Milliken, en sak är känt för att vara sant. Både Google och Microsoft kärlek 2FA och har ständigt rekommenderade den till sina användare.
Tillbaka i Maj, säger Google att användare som lagt till en återhämtning telefonnummer till deras konton (och indirekt aktiverat SMS-baserade 2FA) var också förbättra sitt konto säkerhet.
“Vår forskning visar att helt enkelt lägga till en återhämtning telefonnummer till ditt Google-Konto kan blockera upp till 100% av automatiserade robotar, 99% av bulk phishing-attacker, och 66% av riktade angrepp som inträffat under vår undersökning,” säger Google på den tiden.
Förra månaden, Microsoft ekade samma råd, som avslöjar att med hjälp av en multi-faktor autentisering (MFA) lösning oftast slutar blockera 99,9% av alla konto hacka på sin plattform.
Att höra samma sak från Milliken, en före detta hacker som en gång användes för att dra fördel av användare återanvända lösenord och erkände att stoppas på grund av 2FA, visst sätter detta råd, och dess effektivitet i ett nytt ljus. Kanske, en gång för alla användare bör ta det på allvar.
Säkerhet
Aktivera DNS-över-HTTPS (DoH) i Google Chrome
Vi samla in sociala media profiler från invandrare, asylsökande och flyktingar
600,000 GPS-trackers vänster exponeras på internet med standardlösenordet ‘123456’
Hur AI används för ansiktsigenkänning i övervakningskameror (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
Hur att förhindra ett företagskonto Övertagande (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter