Un hacker che ha fatto una fortuna, rompendo in account utente e l’invio di spam, per loro conto, è ora di avvertimento agli utenti contro riutilizzo di password.
Kyle Milliken, un 29-year-old Arkansas uomo, è stato rilasciato la scorsa settimana da un federale del campo di lavoro. Ha servito da 17 mesi per hacking nel server di diverse aziende e rubare i loro database utente.
Alcune delle vittime incluso Disqus, da cui ha rubato 17,5 milioni di record utente, Kickstarter, da dove ha preso 5.2 milioni di dischi, e Imgur, con 1,7 milioni di dischi.
Per anni, Milliken e il suo partner operato utilizzando le credenziali rubate da altre società di pausa in più redditizio account su altri servizi.
Se gli utenti hanno riutilizzato le loro password, Milliken avrebbero avuto accesso ai loro caselle di posta elettronica, Facebook, Twitter o Myspace account, inviare spam promuovere diversi prodotti e servizi.
Dal 2010 al 2014, Milliken e i suoi colleghi hanno operato con successo una campagna di spam, utilizzando questo semplice schema, facendo più di 1,4 milioni di dollari in profitti, e di vivere la vita alta.
Enti eventualmente coinvolti con l’hacker. Fu arrestato nel 2014, e ha collaborato con le autorità per i prossimi anni, fino allo scorso anno, quando è trapelato che stava collaborando con le autorità e fu blackballed sulla criminalità informatica metropolitana.
Un white-hat carriera
Ora, Milliken è out e in cerca di una nuova vita. Ma questa volta non è interessato a infrangere la legge. In un’intervista a ZDNet, la scorsa settimana, Milliken ha detto che sta progettando di tornare a scuola e poi avviare una carriera nel cyber-sicurezza.
“Ora sto andando indietro ai principi fondamentali e di studio per ogni certificazione di sicurezza,” Milliken ha detto. “Essere un ragazzino di 16 anni alta dispersione scolastica, senza alcuna istruzione formale, ho dovuto effettuare il reverse engineering e insegnarmi tutto quello che so sulla sicurezza cibernetica.
“Ci sono alcune lacune che ho bisogno di vicini che non ero preoccupato, mentre ero in mezzo al mio hacking e spamming carriera”.
Che tipo di carriera, ha ancora deciso, ma Milliken non sarà il primo ex hacker per passare i lati. Molti hanno fatto prima di lui, con più (in)famoso il caso di Hector “Sabu” Monsegur, un ex membro del LulzSec hacking equipaggio, che ora è un dipendente a tempo pieno per Rhino Security Labs, leader nella sicurezza cloud pen-testing impresa.
Le scuse
Ma nel frattempo, Milliken è stato anche per fare ammenda e mostrando a tutti che egli è pronto a girare un nuovo foglio. Per cominciare, ha pubblicamente chiesto scusa per il Kickstarter CEO su Twitter.
Le mie scuse.
— Kyle Milliken (@hackmii) 4 settembre 2019
“Ho avuto un sacco di tempo per riflettere e vedere le cose da una prospettiva diversa,” Milliken detto a ZDNet. “Quando sei di hacking o di avere un obiettivo di dump di un database, non si pensi che l’altra. C’è un sacco di persone di talento, un sacco di lavoro, e i soldi ancora di più, che va a creare una società.
“Non avrei mai immaginato il tipo di caos, di una violazione della sicurezza potrebbe causare per tutte le persone che lavorano duramente e prendere l’orgoglio nel costruire la loro società. Nel momento in cui queste non sono cose che si pensa. Detto questo c’è un po ‘ di rimorso per mettere queste persone attraverso il cyber inferno.”
Riutilizzo di Password
Ma mentre Milliken è raggiungere la sua nuova vita in ordine, ma anche la condivisione di alcuni consigli con le altre persone che ha violato in passato, vale a dire che gli utenti normali.
Il suo consiglio è semplice. Interrompere il riutilizzo delle password e abilitare l’autenticazione a due fattori (2FA).
Se qualcuno avesse dato questo consiglio per gli utenti, mentre Milliken era ancora attivo, back in the day, avrebbe avuto meno successo.
Tuttavia, Milliken è stato attivo in un giorno e l’età in cui gli hacker non aveva ancora fatto un casino di internet. Allora era normale per gli utenti di riutilizzare le password, e non fu visto di buon occhio la pratica come lo è oggi.
Da allora, miliardi di credenziali sono state oggetto di dumping in pubblico dominio e sono a disposizione di tutti gli hacker di tutto il mondo. La maggior parte degli hacker hanno accesso a servizi che vendono organizzato record per ogni utente, mostrando tutte le password di un potenziale target potrebbero essere state utilizzate in passato. Questo mette quasi a chiunque di impegnarsi nel riutilizzo di password in pericolo di avere i loro conti preso il sopravvento.
“Il riutilizzo delle credenziali di accesso, a mio parere, è la più grande falla di sicurezza che abbiamo oggi”, Milliken ha detto. “Quando mi è stato hacking ho avuto la mia collezione personale di database che ho potuto facilmente di ricerca per una società di email e di analizzare tutti i dati.
“Ci vuole solo un dipendente di riutilizzare la stessa password per avere accesso potenziale hack tutto ciò che stai cercando.
“Non solo è il riutilizzo delle credenziali di accesso di un enorme vulnerabilità, ma anche utilizzando lo stesso modello di password è un errore enorme,” Milliken aggiunto. “Per esempio, le credenziali di accesso in più database e la password per Google è ‘KyleGm1!’ e per Twitter e ‘KyleTw1!’.
“Con queste informazioni si conosce la password di Facebook è più che probabile ‘KyleFb1!’,” egli ha detto.
“Ora che ci sono miliardi di record trapelato da migliaia di siti web è anche più facile per chiunque di violazione quasi ogni azienda o sito web là fuori.”
L’autenticazione a due fattori
Milliken ha detto che il riutilizzo di password può essere corretto con una formazione migliore, ma c’è anche una caratteristica di sicurezza che ha fatto della sua vita come un hacker, un inferno vivente.
“Quello che ho disprezzato era il 2FA”, l’ex hacker, ha detto, “la verifica tramite SMS specificamente.
“Onestamente penso che le tre grandi provider di posta elettronica (Microsoft, Yahoo, Google) aggiunto questa funzione a causa di me. Ero registrazione in milioni di account di posta elettronica e davvero causare il caos con il mio contatto mail spamming”.
Ma mentre è altamente improbabile che queste aziende ha aggiunto 2FA supporto a causa di Milliken, una cosa è conosciuto per essere vero. Sia Google e Microsoft amore 2FA e hanno sempre raccomandato ai loro utenti.
In Maggio, Google ha detto che gli utenti che aggiunto il numero di cellulare per i loro conti (e indirettamente attivato SMS 2FA) sono stati anche migliorare la loro sicurezza dell’account.
“La nostra ricerca dimostra che la semplice aggiunta di un recupero del numero di telefono al tuo Account Google in grado di bloccare fino al 100% dei bot automatici, il 99% della massa attacchi di phishing, e il 66% di attacchi mirati che si è verificato durante la nostra ricerca,” Google ha detto al momento.
Il mese scorso, Microsoft eco consigli, rivelando che l’utilizzo di un multi-factor authentication (MFA) soluzione di solito finisce per bloccare il 99,9% di tutti gli account hack sulla sua piattaforma.
Sentendo la stessa cosa da Milliken, un ex hacker che, una volta utilizzati per sfruttare gli utenti di riutilizzare la password e ha ammesso di essere arrestato a causa di 2FA, sicuro mette questo consiglio e la sua efficacia in una nuova luce. Forse, per una volta, gli utenti dovrebbero prendere sul serio.
Sicurezza
Come abilitare il DNS su HTTPS (DoH) in Google Chrome
Raccolta dei profili di social media da parte degli immigrati, richiedenti asilo e rifugiati
Di 600.000 inseguitori di GPS sinistra esposti in linea con una password di default ‘123456’
Come AI è utilizzato per il riconoscimento facciale in telecamere di sorveglianza (ZDNet YouTube)
Il migliore fai da te sistemi di sicurezza domestica del 2019 (CNET)
Come evitare che un Account Aziendale di Acquisizione (TechRepublic)
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati