Альфапедия

Заполнение учетных данных

редактировать
Кибератака с использованием массовых запросов на вход

Заполнение учетных данных - это тип кибератаки с украденной учетной записью учетные данные, обычно состоящие из списков имен пользователей и / или адресов электронной почты и соответствующих паролей (часто от утечки данных ) используются для получения неавторизованного доступа к учетным записям пользователей посредством крупномасштабных автоматических запросов входа в систему, направленных против веб-приложения. В отличие от взлома учетных данных, атаки с заполнением учетных данных не пытаются перебором или угадывать пароли - злоумышленник просто автоматизирует вход в систему для большого количества (от тысяч до миллионов) ранее обнаруженных пар учетных данных с помощью стандартных инструментов веб-автоматизации, таких как Selenium, cURL, PhantomJS или инструменты, разработанные специально для этих типов атак, такие как: Sentry MBA, SNIPR, STORM, Blackbullet и Openbullet.

Атаки с заполнением учетных данных возможны, потому что многие пользователи повторно используют одну и ту же комбинацию имени пользователя и пароля на нескольких сайтах, при этом один опрос показал, что 81% пользователей повторно использовали пароль на двух или более сайтах, а 25% пользователей используют один и тот же пароль на разных сайтах. большинство своих учетных записей.

Содержание

  • 1 Разлив учетных данных
  • 2 Источник
  • 3 Инциденты
  • 4 Взломанная проверка учетных данных
    • 4.1 Реализации взломанной проверки учетных данных
  • 5 См. также
  • 6 Ссылки
  • 7 Внешние ссылки

Разливы учетных данных

Атаки с заполнением учетных данных считаются одной из основных угроз для веб-приложений и мобильных приложений из-за большого количества утечек учетных данных. Только в 2016 году в результате утечки данных в Интернете было передано более 3 миллиардов учетных данных.

Источник

Термин был придуман Сумитом Агарвалом, соучредителем Shape Security, который работал как Заместитель помощника министра обороны в Пентагоне в то время.

Инциденты

20 августа 2018 года Superdrug Великобритании был был направлен на попытку шантажа, были представлены доказательства того, что хакеры проникли на сайт и скачали записи 20 000 пользователей. Доказательства, скорее всего, были получены в результате взломов и утечек, а затем использовались в качестве источника для атак с заполнением учетных данных для сбора информации для создания поддельных доказательств.

В октябре – ноябре 2016 г. злоумышленники получили доступ к закрытому Репозиторий GitHub, используемый разработчиками Uber (Uber BV и Uber UK), использующий имена пользователей и пароли сотрудников, которые были взломаны в ходе предыдущих взломов. Хакеры заявили, что взломали учетные записи 12 сотрудников с помощью метода заполнения учетных данных, поскольку адреса электронной почты и пароли повторно использовались на других платформах. Хотя много- / двухфакторная аутентификация доступна, она не была активирована для затронутых учетных записей. Впоследствии хакеры обнаружили учетные данные для хранилища данных компании AWS в файлах репозитория и, таким образом, смогли получить доступ к записям 32 миллионов пользователей за пределами США и 3,7 миллиона водителей из других стран, а также других данные, содержащиеся в более чем 100 S3 сегментах. Злоумышленники предупредили Uber, потребовав выплату 100 000 долларов за согласие на удаление данных. Компания заплатила через «программу вознаграждения за ошибки », но не сообщала об инциденте затронутым сторонам более года. После того, как о взломе стало известно, компания была оштрафована на 385 000 фунтов стерлингов (с возможностью уменьшения до 308 000 фунтов стерлингов) Управлением комиссара по информации Великобритании.

Проверка учетных данных со взломом

Проверка учетных данных - это метод, с помощью которого пользователи получать уведомления, когда пароли взламываются веб-сайтами, веб-браузерами или расширениями паролей.

В феврале 2018 года британский ученый-компьютерщик создал протокол связи (с использованием k-анонимности и криптографического хеширования ) для анонимной проверки, произошла ли утечка пароля, не раскрывая полностью искал пароль. Этот протокол был реализован как общедоступный API в службе Hunt и теперь используется несколькими веб-сайтами и службами, включая менеджеры паролей и расширения браузера. Позднее этот подход был воспроизведен функцией проверки пароля Google. Али работал с учеными из Корнельского университета над разработкой новых версий этого протокола, известных как бакетизация по размеру частоты и бакетизация на основе идентификаторов. В марте 2020 года к этому протоколу было добавлено криптографическое заполнение.

Реализации взломанной проверки учетных данных

ПротоколРазработчикиСделаны общедоступнымиСсылки
k-Anonymity (Cloudflare ), Трой Хант (Был ли я взят? )21 февраля 2018 г.
Бакетизация сглаживания частоты и идентификатор Бакетизация на основеКорнельский университет (Люси Ли, Биджита Пал, Рахул Чаттерджи, Томас Ристенпарт), Cloudflare (, Ник Салливан)май 2019 г.
Проверка пароля Google (GPC)Google, Стэнфордский университет август 2019 г.
Active Credential Stuffing DetectionУниверситет Северной Каролины в Чапел-Хилл (Ке Коби Ван, Майкл К. Рейтер)декабрь 2019 г.

См. Также

Ссылки

  1. ^«Заполнение учетных данных». OWASP.
  2. ^«Отчет об утечке учетных данных» ( PDF). Shape Security. Январь 2017 г., стр. 23. Самый популярный инструмент заполнения учетных данных, Sentry MBA, использует файлы конфигурации для целевые веб-сайты, которые содержат всю логику последовательности входа в систему, необходимую для автоматизации попыток входа в систему
  3. ^«Использование инструментов заполнения учетных данных - NCSC».
  4. ^«Тревожный звонок при использовании неправильных паролей пользователей» (PDF). SecureAuth. Июль 2017.
  5. ^Чиковски, Эрика (17 января 2017 г.). «Атаки с заполнением учетных данных захватывают корпоративные системы штурмом». Темное чтение. Проверено 19 февраля 2017 г.
  6. ^Таунсенд, Кевин (17 января 2017 г.). «Упражнение для удостоверений: успешная и растущая методология атаки». Неделя безопасности. Проверено 19 февраля 2017 года.
  7. ^«Супер-кружки: хакеры утверждают, что украли 20 тысяч клиентских записей у Brit biz Superdrug».
  8. ^«Superdrug отказывается от выкупа после предполагаемого супер-ограбления - финансовое криптосообщество». 23 августа 2018 г.
  9. ^«Уведомление о денежном штрафе (Uber)» (PDF). Офис уполномоченного по информации. 27 ноября 2018 г.
  10. ^«Узнайте, был ли ваш пароль взломан, не отправляя его на сервер». Ars Technica. Проверено 24 мая 2018 г.
  11. ^«1Password не отвечает на проверку« взломанного пароля »- TechCrunch». techcrunch.com. Проверено 24 мая 2018 г.
  12. ^«1Password интегрируется с« Pwned Passwords », чтобы проверить, не произошла ли утечка ваших паролей в Интернете». Проверено 24 мая 2018.
  13. ^Конгер, Кейт. «1Password поможет вам узнать, взломан ли ваш пароль». Gizmodo. Проверено 24 мая 2018.
  14. ^Кондон, Стефани. «Okta предлагает бесплатную многофакторную аутентификацию с новым продуктом One App | ZDNet». ZDNet. Проверено 24 мая 2018 г.
  15. ^Корен, Майкл Дж. «Самая большая в мире база данных взломанных паролей теперь является расширением Chrome, которое автоматически проверяет вашу». Кварц. Проверено 24 мая 2018.
  16. ^Wagenseil I, Paul. «Новое расширение Google для Chrome находит ваши взломанные пароли». www.laptopmag.com.
  17. ^"Google запускает расширение для проверки пароля, чтобы предупреждать пользователей о взломе данных". BleepingComputer.
  18. ^Дсуза, Мелиша (6 февраля 2019 г.). «Новое расширение Google Chrome 'Password CheckUp' проверяет, не было ли ваше имя пользователя или пароль взломано третьей стороной». Packt Hub.
  19. ^Ли, Люси; Пал, Биджита; Али, Джунаде; Салливан, Ник; Чаттерджи, Рахул; Ристенпарт, Томас (2019-11-06). «Протоколы проверки взломанных учетных данных». Материалы конференции ACM SIGSAC 2019 по компьютерной и коммуникационной безопасности. Нью-Йорк, Нью-Йорк, США: ACM: 1387–1403. arXiv : 1905.13737. Bibcode : 2019arXiv190513737L. doi : 10.1145 / 3319535.3354229. ISBN 978-1-4503-6747-9.
  20. ^Али, Джунаде (4 марта 2020 г.). «Заполнение заложенных паролей (футы Lava Lamps и рабочих)». Блог Cloudflare. Проверено 12 мая 2020 г.
  21. ^Али, Джунаде (21 февраля 2018 г.). «Подтверждение утечки паролей с помощью k-анонимности». Блог Cloudflare. Проверено 12 мая 2020 г.
  22. ^Али, Джунаде (5 октября 2017 г.). «Механизм предотвращения повторного использования паролей с помощью анонимных хэшей». Препринты PeerJ. Проверено 12 мая 2020 г. Для цитирования журнала требуется | journal =()
  23. ^Ли, Люси; Пал, Биджита; Али, Джунаде; Салливан, Ник; Чаттерджи, Рахул; Ристенпарт, Thomas (4 сентября 2019 г.). «Протоколы проверки взломанных учетных данных». arXiv : 1905.13737 [cs.CR ].
  24. ^Thomas, Kurt; Pullman, Jennifer; Yeo, Кевин; Рагхунатан, Анант; Келли, Патрик Гейдж; Инверницци, Лука; Бенко, Борбала; Пьетрашек, Тадек; Патель, Сарвар; Бонех, Дэн; Бурштейн, Эли (2019). «Защита учетных записей от набивки учетных данных с взломом пароля предупреждение " : 1556–1571. Для цитирования журнала требуется | journal =()
  25. ^Cimpanu, Catalin. " Google запускает функцию проверки пароля, добавит ее в Chrome в конце этого года ". ZDNet. Получено 12 мая 2020 г.
  26. ^Ван, Ке Коби; Рейтер, Майкл К. (2020). " Обнаружение заполнения учетных данных пользователя в ее собственных учетных записях ". arXiv : 1912.11118. Журнал цитирования требует | journal =()

Внешние ссылки

  • "Запись OWASP в Credential Stuffing "
  • "HaveIBeenPwned "- проверьте, есть ли у вас учетная запись, которая была взломана в результате утечки данных и уязвима ли она для использования посредством атаки с использованием Credential Stuffing.
Последняя правка сделана 2021-05-16 08:17:19
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте