Tadi malam seorang peretas anonim mengaku memilikinya dari 7 juta kata sandi ke akun Dropbox. Meskipun klaim itu mungkin salah, ini menunjukkan cara yang semakin umum digunakan oleh peretas untuk mendapatkan akses ke kata sandi Anda.
Peretas memposting sekitar 400 nama pengguna dan kata sandi di situs catatan anonim Pastebin dalam serangkaian 'penggoda' untuk daftar utama. Beberapa pengguna Reddit berhasil masuk ke Dropbox menggunakan informasi yang diposting sebelum perusahaan menonaktifkan semua kata sandi yang bocor.
Tapi Dropbox dengan cepat meragukan klaim tersebut , menyangkal bahwa itu telah diretas dan mengklaim bahwa banyak nama pengguna dan kata sandi bahkan tidak terkait dengan akun Dropbox.
Jadi dari mana kata sandi itu berasal? Lagi pula, mereka bekerja, untuk sementara waktu.
Sumber informasi yang paling mungkin adalah situs pihak ketiga yang memiliki keamanan yang buruk. Peretas tahu bahwa sebagian besar pengguna internet menggunakan kembali kata sandi mereka, sehingga mereka sering menargetkan aplikasi yang lebih kecil yang dibuat oleh pengembang amatir. Sasaran mudah ini memiliki keamanan yang buruk--sehingga nama pengguna, sandi, atau file dapat disimpan dengan cara yang mudah dicuri oleh peretas.
Peretasan Snapchat baru-baru ini , yang melihat hampir 100.000 foto dan video pribadi diposting secara online, terjadi karena pengembang amatir belum menyiapkan situs webnya dengan aman. Dalam sebuah posting di halaman Facebook Snapsaved , pendiri anonim situs menjelaskan bahwa server Apache yang salah dikonfigurasi membuat file rentan terhadap peretas.
Peretas tidak perlu lagi mencoba dan menargetkan raksasa teknologi. Mengapa repot-repot mencoba meretas ke server Google, Apple atau Facebook ketika Anda dapat memanfaatkan situs web yang dibangun dengan buruk untuk mendapatkan informasi yang sama?
Kami sekarang melihat peretas menggunakan pendekatan baru. Alih-alih menghabiskan waktu berbulan-bulan untuk menemukan kerentanan di situs besar, mereka menggunakan kembali informasi login yang dicuri dari aplikasi pihak ketiga amatir. Kemungkinan informasi tersebut berfungsi untuk beberapa situs, jadi mengompilasi cache data ini bersama-sama dapat dengan cepat membuat daftar jutaan kata sandi.
Di bulan September, Peretas Rusia menerbitkan daftar dari 5 juta kata sandi ke berbagai penyedia email yang berbeda, termasuk Gmail. Itu bukan kebocoran baru, tetapi kumpulan kebocoran kata sandi lama yang dikompilasi bersama agar tampak baru. Tentu, banyak dari akun email telah ditutup, tetapi informasinya masih dapat diunduh dan digunakan oleh peretas untuk membobol akun lain.
Jadi mengapa peretas menggunakan kembali informasi lama? Jarang ada bukti bahwa mereka benar-benar menggunakan kata sandi untuk masuk ke situs. Sebaliknya, sepertinya mereka hanya memposting informasi secara online. Atau setidaknya, mereka memposting beberapa informasi secara online. Seperti yang kami sebutkan sebelumnya, peretas membocorkan sebagian kumpulan kata sandi sebagai 'penggoda.' Ini sering disertai dengan permintaan donasi Bitcoin.
Kita dapat menggunakan sifat publik dari alamat Bitcoin untuk melihat berapa banyak yang diperoleh peretas karena memposting kata sandi secara online. Seringkali kurang dari yang mereka harapkan untuk diterima. Peretas yang membagikan koleksi kata sandi Dropbox menerima hanya 8 sen . Demikian pula, OriginalGuy, poster forum anonim di balik gelombang pertama foto selebritas iCloud yang diretas, mengungkapkan kekecewaannya pada tetesan kecil sumbangan yang datang kepadanya, berkomentar:
Tentu, saya mendapat $120 dengan alamat Bitcoin saya, tetapi ketika Anda mempertimbangkan berapa banyak waktu yang dihabiskan untuk memperoleh barang-barang ini (saya bukan peretas, hanya seorang kolektor), dan uangnya (saya membayar banyak melalui Bitcoin juga untuk mendapatkan kepastian set ketika barang ini diperdagangkan secara pribadi pada hari Jumat/Sabtu) Saya benar-benar tidak mendekati apa yang saya harapkan.
Kami melihat semakin banyak kata sandi bocor secara online. Pengembang amatir tidak meningkatkan keamanan kata sandi, dan kebocoran yang ada terus muncul kembali. Meskipun informasi yang dipublikasikan sering beberapa tahun kedaluwarsa (banyak email yang diposting bersama dengan kata sandi Dropbox dinonaktifkan pada tahun 2012), itu masih berharga bagi peretas yang menyusun daftar besar alamat email dan kata sandi untuk digunakan dalam serangan terhadap situs lain. .
Dan, untuk berjaga-jaga jika tidak jelas, ini juga salah Anda: Jika Anda menggunakan kata sandi yang sama berulang-ulang dengan aplikasi yang berbeda, maka peretas tidak perlu masuk ke server Apple atau Facebook untuk menemukannya. Mereka hanya mengidentifikasi aplikasi yang lebih kecil dengan keamanan kata sandi terlemah.
--Ini cerita pertama kali muncul di Orang Dalam Bisnis.
