Liam Tung er en australsk forretningsteknologijournalist som bor noen for mange svenske mil nord for Stockholm for hans smak. Han tok en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hacket seg (uten norrønt eller ondsinnet kode for den saks skyld) seg inn i en karriere som enterprise tech-, sikkerhets- og telekommunikasjonsjournalist hos ZDNet Australia.
Full bio 21. desember 2021 | Emne: Sikkerhet 
Det britiske nasjonale kriminalitetsbyrået (NCA) og National Cyber Crime Unit (NCCU) har oppdaget en 225 millioner cache med stjålne e-poster og passord og overlevert dem til HaveIBeenPwned (HIBP), den gratis tjenesten for sporing av legitimasjon stjålet og/eller lekket gjennom tidligere datainnbrudd.
De 225 millioner nye passordene blir en del av HIPBs eksisterende kropp på 613 millioner passord i Pwned Passwords-settet, som tilbyr nettstedoperatører en hash av passordene for å sikre at brukerne ikke bruker dem når de oppretter en ny konto. Enkeltpersoner kan bruke HIPBs Pwned Password-side for å se om passordene deres har blitt lekket i tidligere brudd.
Tjenesten hjelper organisasjoner med å oppfylle NISTs anbefaling om at brukere bør forhindres fra å bruke passord som tidligere ble avslørt i et brudd. Dette kravet tar sikte på å adressere den økende bruken av “credential stuffing”, der kriminelle tester store lister over lekke og ofte brukte kombinasjoner av brukernavn og passord mot forskjellige nettkontoer.
SE: Hackere bruker denne enkle teknikken for å installere skadelig programvare på PC-er
Teknikken har blitt brukt til å kompromittere 50 000 nettbankkontoer siden 2017, advarte FBI i fjor, og fungerer fordi mange fortsatt bruker samme passord for å beskytte flere kontoer; hvis noen av disse kontoene som er beskyttet med det vanlige passordet ble brutt, blir personens andre kontoer sårbare for påloggingsfylling.
Teknikken ble et problem for et tiår siden etter at milliarder av legitimasjon ble lekket på nettet etter store datainnbrudd, noe som ga angripere enorme legitimasjonsdatasett for å teste mot kontoer av ulik betydning, alt fra online spillkontoer til bankkontoer og ansattes kontoer.
NCA og NCCU kom over cachen med stjålne legitimasjon på et kompromittert, men ikke navngitt skylagringsanlegg.
“Under nylig NCAs operasjonelle aktivitet, var NCCUs Mitigation@Scale-team i stand til å identifisere en enorm mengde potensielt kompromitterte legitimasjon (e-post og tilhørende passord) i et kompromittert skylagringsanlegg,” sa NCA i en uttalelse til HIPB.
“Gjennom analyse ble det klart at disse legitimasjonene var en opphopning av brutte datasett kjente og ukjente. Det faktum at de hadde blitt plassert på en britisk virksomhets skylagringsanlegg av ukjente kriminelle aktører, betydde at legitimasjonen nå eksisterte i det offentlige domene, og kunne få tilgang til av andre tredjeparter for å begå ytterligere svindel eller cyberlovbrudd.”
NCA fortalte BBC at det i fjor i samarbeid med britisk politi identifiserte at det hadde vært et kompromiss med en britisk organisasjons skylagringsanlegg, fører til at over 40 000 filer blir lastet opp til deres servere av nettkriminelle. Blant disse filene var samlingen av kompromitterte e-poster og passord.
NCA overleverte de kompromitterte passordene til HIBPs operatør, Troy Hunt, som bekreftet NCCUs funn om at passordene ikke var i det eksisterende Pwned Passwords-datasettet. Nye passord inkludert i hurtigbufferen han sa inkluderer:
flamingo228Alexei200591177700123Testsaganesq
“NCCUs Mitigation@Scale-team gjennomførte en sammenligning av de kompromitterte dataene mot HIBP-passordlageret for å identifisere eventuelle tidligere usynlige passord nå i det offentlige domainet,” sa NCA.
Organisasjoner kan laste ned hash-datasettet i SHA-1-format i en komprimert 17,2 GB fil. Det er den første versjonen som inkluderer en regelmessig oppdatert liste over kompromitterte legitimasjon som politi, som FBI, oppdager under etterforskning.
Hunt understreket at passordene som ble levert til HIPB av FBI og NCA, ikke er for hans tjeneste, men for fellesskapet, siden de kan brukes av hvem som helst for å oppfylle NISTs anbefalinger for å redusere legitimasjonsfylling.
Dette er en kul overskrift, men journalister mangler noe veldig viktig når de sier at @NCA_UK eller @FBI gir enten @haveibeenpwned eller meg selv passord; de gir **fellesskapet** passord https://t.co/MtIr2pYuRD
— Troy Hunt (@troyhunt) 20. desember 2021
“Dagens utgivelse bringer det totale antallet Pwned-passord teller til 847 223 402, en økning på 38 % sammenlignet med den siste versjonen. Enda viktigere, hvis vi tar prevalenstellingen i betraktning, er det 5 579 399 834 forekomster av et kompromittert passord representert i dette korpuset,” forklarer Hunt.
Sikkerhet
Log4j-trussel: Hva du trenger å vite og hvordan du kan beskytte deg selv Ransomware i 2022: Vi er alle skrudd Microsoft Patch Tuesday: Zero-day utnyttet for å spre Emotet malware Kronos rammet med løsepengevare, advarer om datainnbrudd og “flere ukers” utfall De beste VPN-ene for små og hjemmebaserte bedrifter i 2021 Security TV | Databehandling | CXO | Datasentre