En hacker, der har foretaget en formue ved at bryde ind i folks konti og sende spam på deres vegne, er nu advarer brugerne mod password genbrug.
Kyle Milliken, en 29-årig Arkansas mand, blev frigivet i sidste uge fra en føderal arbejde lejren. Han tjente 17 måneder for at hacke servere i flere selskaber og stjæle deres bruger-databaser.
Nogle af ofrene i prisen Disqus, hvorfra han stjal 17,5 millioner bruger optegnelser, Kickstarter, hvor han tog 5.2 millioner plader, og Imgur, med 1,7 millioner plader.
For år, Milliken og hans partnere, der drives ved hjælp af de legitimationsoplysninger stjålet fra andre virksomheder til at bryde ind i mere lukrative konti på andre tjenester.
Hvis brugerne havde genbrugt deres adgangskoder, Milliken vil få adgang til deres e-mail-indbakker, Facebook, Twitter eller Myspace konti og sende spam til fremme af forskellige produkter og tjenester.
Fra 2010 til 2014, Milliken og hans kolleger drives en vellykket spam kampagne ved hjælp af denne enkle ordning, der gør mere end $1,4 millioner i overskud, og lever det gode liv.
Myndigheder til sidst fanget op med hackere. Han blev arresteret i 2014, og samarbejdet med myndigheder i de næste år, indtil sidste år, når det lækket, at han var i samarbejde med myndigheder og var blackballed om it-kriminalitet under jorden.
En white-hat karriere
Nu, Milliken er ude og leder efter et nyt liv. Men denne gang er han ikke interesseret i at bryde loven. I et interview med ZDNet i sidste uge, Milliken sagde, at han planlægger at gå tilbage til skolen, og derefter starte en karriere i it-sikkerhed.
“Lige nu er jeg ved at gå tilbage til det grundlæggende, og at studere for alle mulige sikkerheds-certificering,” Milliken sagde. “At være en 16-årig high school-dropout, uden nogen formel uddannelse, at jeg var nødt til at foretage reverse engineering og lære mig selv alt hvad jeg vide om internetsikkerhed.
“Der er et par huller, at jeg er nødt til at lukke, at jeg ikke var bekymret over, mens jeg var midt i min hacking og spamming karriere.”
Hvilken slags karriere, han er endnu ikke besluttet, men Milliken vil ikke være den første tidligere hacker at skifte sider. Mange har gjort det før ham, med de mest kendt sag at være Hector “Sabu” Monsegur, et tidligere medlem af den LulzSec hacking besætning, der er nu en fuldtids medarbejder til Rhino Security Labs, en førende cloud-sikkerhed pen-test firma.
En undskyldning
Men i mellemtiden, Milliken har også været at gøre ændrer og vise alle, at han er klar til at vende et nyt blad. For startere, han har offentligt undskyldt til Kickstarter administrerende DIREKTØR på Twitter.
Min undskyldning.
— Kyle Milliken (@hackme) September 4, 2019
“Jeg har haft en masse tid til at reflektere og se tingene fra et andet perspektiv,” Milliken fortalte ZDNet. “Når du er hacking eller har en målsætning om at dumpe en database, behøver du ikke tænke over, hvem der er på den anden ende. Der er en masse dygtige mennesker, et ton af arbejde og endnu mere penge, der går ind i at oprette en virksomhed.
“Jeg havde aldrig forestillet mig, den type af kaos sikkerhedsbrud, der ville medføre for alle de mennesker, der arbejder så hårdt og sætter en ære i at opbygge deres virksomhed. I det øjeblik, disse er ikke ting, som du tænker på. Der bliver sagt, der er en smule anger for at sætte disse mennesker gennem cyber helvede.”
Password genbrug
Men mens Milliken er at få sit nye liv i orden, at han også deler nogle råd med andre mennesker, som han hacket i fortiden-nemlig regelmæssige brugere.
Hans råd er simpelt. Stoppe med at genbruge passwords og aktivere to-faktor-autentificering (2FA).
Hvis nogen ville have givet dette råd til brugerne, mens Milliken stadig var aktiv tilbage i dag, ville han have været langt mindre vellykket.
Men Milliken var aktiv i en tid, hvor hackere havde endnu ikke gjort et rod af internettet. Dengang var det normalt for brugerne at genbruge passwords, og det var ikke en ildeset praksis, som det er i dag.
Siden da, milliarder af brugeroplysninger er blevet dumpet i det offentlige domæne, og er til rådighed for alle hackere over hele verden. De fleste hackere har adgang til tjenester, der sælger organiseret poster for enhver bruger, viser alle de adgangskoder, som et potentielt mål måske har brugt tidligere. Dette udtrykker næsten alle, at deltage i password genbrug i fare for at få deres konti taget over.
“Genbrug af login-legitimationsoplysninger efter min mening er den største sikkerhedshul, som vi har i dag,” Milliken sagde. “Da jeg var hacking jeg havde min egen personlige samling af databaser, som jeg kunne nemt søge efter en virksomheds e-mail og analysere alle data.
“Det tager kun en medarbejder til at genbruge den samme adgangskode til at have en potentiel adgang til at hacke alt det, du leder efter.
“Ikke blot er genbrug af login-legitimationsoplysninger en enorm sårbarhed, men selv ved hjælp af den samme mønster af passwords er en kæmpe fejltagelse,” Milliken tilføjet. “For eksempel, sige, at dine loginoplysninger er i flere databaser og din adgangskode til Google ‘KyleGm1!’ og til Twitter-det er ‘KyleTw1!’.
“Med disse oplysninger ved vi din adgangskode til Facebook er mere end sandsynligt, ‘KyleFb1!’,” sagde han.
“Nu, at der er milliarder af poster, der er lækket fra tusindvis af hjemmesider, er det endnu lettere for alle at overtrædelse næsten enhver virksomhed eller et websted derude.”
To-faktor autentificering
Milliken sagde, at password genbrug, kunne afhjælpes ved en bedre uddannelse, men der er også en sikkerhedsfunktion, der gjorde hans liv, som en hacker et levende helvede.
“Den ene, at jeg foragtede var 2FA,” den tidligere hacker sagde, “SMS-bekræftelse specifikt.
“Jeg tror helt ærligt, at de tre store e-mail-udbydere (Microsoft, Yahoo, Google) tilføjet denne funktion på grund af mig. Jeg var logge ind millioner af e-mail-konti og virkelig skaber ravage med min kontaktperson, mail, spam-mail.”
Men selv om det er højst usandsynligt, at disse virksomheder tilføjet 2FA støtte på grund af Milliken, en ting er kendt for at være sandt. Både Google og Microsoft kærlighed 2FA og har hele tiden anbefalet det til deres brugere.
Tilbage i Maj, Google sagde, at brugere, der har tilføjet en recovery telefonnummer til deres konti (og indirekte aktiveret SMS-baseret 2FA) var også en forbedring af deres konto sikkerhed.
“Vores forskning viser, at blot at tilføje et opsving telefonnummer til din Google-Konto, kan blokere op til 100% af automatiserede bots, 99% af bulk phishing-angreb, og 66% af de målrettede angreb, der fandt sted i løbet af vores undersøgelse,” sagde Google på det tidspunkt.
Sidste måned, Microsoft lød de samme råd, der afslører, at du bruger en multi-faktor-autentificering (MFA) løsning, der som regel ender med at blokere 99,9% af alle konto-hacks på sin platform.
At høre de samme ting fra Milliken, en tidligere hacker, der engang bruges til at drage fordel af brugere genbrug af password og indrømmede, at blive stoppet på grund af 2FA, sikker på, sætter dette råd, og dens effektivitet i et nyt lys. Måske, for en gangs skyld, bør brugere tage det alvorligt.
Sikkerhed
Hvordan at aktivere DNS-over-HTTPS (DoH) i Google Chrome
Vi indsamler sociale medier profiler fra indvandrere, asylansøgere og flygtninge
600,000 GPS trackere venstre udsat online med en standard password ‘123456’
Hvordan AI er brugt til ansigtsgenkendelse i overvågningskameraer (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Hvordan til at forhindre, at en Corporate Konto Overtagelse (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre