Een hacker die een fortuin maakte door te breken in de rekeningen van mensen en het plaatsen van spam op hun naam op rekening is nu waarschuwing gebruikers tegen wachtwoord opnieuw kunt gebruiken.
Kyle Milliken, een 29-jarige Arkansas man, vorige week uitgebracht van een federale werken in een kamp. Hij diende 17 maanden voor het hacken van de servers van verschillende bedrijven en het stelen van hun eigen databases.
Sommige van de slachtoffers opgenomen Disqus, van waar hij stal 17,5 miljoen gebruikers records, Kickstarter, waar hij nam met 5,2 miljoen records, en Imgur, met 1,7 miljoen records.
Voor de jaren, Milliken en zijn partners bediend met behulp van de referenties gestolen van andere bedrijven in te breken in meer lucratieve accounts op andere diensten.
Als gebruikers had hergebruikt hun wachtwoorden, Milliken zou toegang krijgen tot hun e-mail inboxen, Facebook, Twitter of Myspace-accounts, en post spam promoten van diverse producten en diensten.
Van 2010 tot en met 2014, Milliken en zijn collega ‘ s die een succesvolle spam-campagne met behulp van deze eenvoudige regeling, waardoor meer dan $1,4 miljoen in de winst, en leeft het goede leven.
Autoriteiten uiteindelijk gevangen met de hacker. Hij werd gearresteerd in 2014, en in samenwerking met de overheid voor de komende jaren, tot vorig jaar, toen het gelekt dat hij werkte samen met de overheid en was blackballed op de cybercrime underground.
Een white-hat carrière
Nu, Milliken is uit en op zoek naar een nieuw leven. Maar dit keer is hij niet geïnteresseerd in het breken van de wet. In een interview met ZDNet vorige week, Milliken zei dat hij plannen om terug te gaan naar school en start een loopbaan in de cyber-security.
“Nu ga ik terug naar de basis en bestuderen voor elke mogelijke beveiliging certificering,” Milliken zei. “Een 16-jarige high school dropout zonder enige formele opleiding had ik te reverse-engineeren en leer me alles wat ik weet over cybersecurity.
“Er zijn een paar hiaten die ik nodig heb te sluiten dat ik niet bezorgd over terwijl ik in het midden van mijn hacken en spammen carrière.”
Wat voor soort carrière, hij is nog niet besloten, maar Milliken zal niet de eerste ex-hacker naar de andere kant. Veel hebben gedaan voor hem, met de meest (in)beroemde geval Hector “Sabu” Monsegur, een voormalig lid van de LulzSec hacken bemanning, die nu een full-time medewerker voor Rhino Security Labs, een toonaangevende cloud security pen-testing bedrijf.
Een verontschuldiging
Maar in de tussentijd, Milliken is ook het maken van genoegdoening en het tonen van iedereen dat hij klaar om weer een nieuw blad. Voor starters, is hij publiekelijk zijn excuses aangeboden aan de Kickstarter CEO op Twitter.
Mijn excuses.
— Kyle Milliken (@hackme) 4 September 2019
“Ik heb veel tijd om na te denken en de dingen zien vanuit een ander perspectief,” Milliken vertelde ZDNet. “Als je hacken of hebben een doel om te dump een database, denk je niet over wie er aan de andere kant. Er is een hoop getalenteerde mensen, een hoop werk, en zelfs meer geld dat gaat naar het opzetten van een bedrijf.
“Ik had nooit gedacht het type van de chaos van een inbreuk op de beveiliging zou veroorzaken voor alle mensen die zo hard werken en trots zijn in het opbouwen van hun bedrijf. Op het moment dat zijn niet dingen die je aan denkt. Dat gezegd zijnde is er een beetje spijt van om deze mensen door middel van cyber hel.”
Wachtwoord hergebruik
Maar terwijl Milliken is aan zijn nieuwe leven in orde, hij is ook het delen van een aantal adviezen met de andere mensen die hij gehackt in het verleden: namelijk de normale gebruikers.
Zijn advies is eenvoudig. Stop het hergebruiken van wachtwoorden om twee-factor authenticatie (2FA).
Als iemand zou hebben gegeven dit advies aan gebruikers, terwijl Milliken nog actief was, terug in de dag, zou hij al veel minder succes.
Echter, Milliken actief was in een dag en tijd wanneer hackers hadden nog niet een bende gemaakt van het internet. Toen was het normaal voor gebruikers om hergebruik van wachtwoorden, en het was niet een afgekeurd praktijk van vandaag.
Sindsdien miljarden van de referenties van de gebruiker zijn gedumpt in het publieke domein en zijn beschikbaar voor alle hackers over de hele wereld. De meeste hackers hebben toegang tot diensten die te verkopen georganiseerd records voor elke gebruiker, met alle wachtwoorden een potentieel doelwit zou kunnen hebben gebruikt in het verleden. Dit zet bijna iedereen betrekken bij wachtwoord opnieuw in gevaar van het hebben van hun accounts overgenomen.
“Het hergebruik van inloggegevens in mijn mening is het grootste lek die we vandaag hebben,” Milliken zei. “Toen ik hack ik had mijn eigen persoonlijke collectie van de databanken, die kon ik makkelijk zoeken naar een bedrijf e-mail en controleren van alle gegevens.
“Er is maar één werknemer te hergebruiken hetzelfde wachtwoord te hebben potentiële toegang tot hack alles wat u zoekt.
“Niet alleen is het hergebruik van aanmeldingsgegevens een enorme kwetsbaarheid, maar ook met behulp van hetzelfde patroon van wachtwoorden is een grote vergissing,” Milliken toegevoegd. “Stel uw inloggegevens in meerdere databases en uw wachtwoord voor Google is ‘KyleGm1!’ en voor Twitter is het ‘KyleTw1!’.
“Met deze informatie weten we uw wachtwoord voor Facebook is meer dan waarschijnlijk ‘KyleFb1!’,” zei hij.
“Nu dat er miljarden records gelekt uit duizenden websites is het zelfs nog makkelijker voor iedereen om schending van bijna elk bedrijf of website die er zijn.”
Twee-factor authenticatie
Milliken zei dat wachtwoord hergebruik kan worden gecorrigeerd door een betere opleiding, maar er is ook een beveiligingsfunctie die zijn leven als een hacker een levende hel.
“Ik veracht werd de 2FA,” de voormalige hacker zei: “de SMS-verificatie in het bijzonder.
“Ik denk eerlijk gezegd dat de drie grote providers (Microsoft, Yahoo, Google) dit toegevoegd door mij. Ik was te loggen in miljoenen e-mail accounts en echt veroorzaakt ravage met mijn contact mail spamming.”
Maar omdat het hoogst onwaarschijnlijk is dat deze bedrijven toegevoegd 2FA steun omwille van Milliken, één ding staat bekend om waar te zijn. Zowel Google als Microsoft liefde 2FA en hebben voortdurend het aanbevolen aan hun gebruikers.
Terug in Mei, Google zei dat gebruikers die toegevoegd een herstel van het telefoonnummer op hun accounts (en indirect ingeschakeld op SMS-gebaseerde 2FA) werden ook de verbetering van de beveiliging van uw account.
“Ons onderzoek toont aan dat het simpelweg toevoegen van een herstel telefoonnummer aan uw Google-Account kan blokkeren tot 100% van geautomatiseerde bots, 99% van de bulk van phishing-aanvallen, en 66% van de doelgerichte aanvallen die zijn opgetreden tijdens ons onderzoek,” Google zei in de tijd.
Vorige maand, Microsoft weerklinkt hetzelfde advies, waaruit blijkt dat het gebruik van een multi-factor authenticatie (MFA) oplossing meestal eindigt het blokkeren van 99,9% van alle account hacks op haar platform.
Hetzelfde horen van Milliken, een voormalige hacker die een keer gebruikt om te profiteren van gebruikers hergebruik wachtwoord en toegelaten te worden gestopt vanwege 2FA, zeker brengt dit advies en de effectiviteit ervan in een nieuw licht. Misschien voor een keer, gebruikers moeten serieus te nemen.
Veiligheid
Het inschakelen van de DNS-over-HTTPS (DoH) in Google Chrome
Wij verzamelen de sociale media profielen van immigranten, asielzoekers en vluchtelingen
De 600.000 en GPS trackers links blootgesteld online met een standaard wachtwoord van ‘123456’
Hoe AI wordt gebruikt voor gezichtsherkenning in surveillance-camera ‘ s (ZDNet YouTube)
De beste DIY home security systems 2019 (CNET)
Hoe om te voorkomen dat een Corporate Account Takeover (TechRepublic)
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters