Заполнение учетных данных - это тип кибератаки с украденной учетной записью учетные данные, обычно состоящие из списков имен пользователей и / или адресов электронной почты и соответствующих паролей (часто от утечки данных ) используются для получения неавторизованного доступа к учетным записям пользователей посредством крупномасштабных автоматических запросов входа в систему, направленных против веб-приложения. В отличие от взлома учетных данных, атаки с заполнением учетных данных не пытаются перебором или угадывать пароли - злоумышленник просто автоматизирует вход в систему для большого количества (от тысяч до миллионов) ранее обнаруженных пар учетных данных с помощью стандартных инструментов веб-автоматизации, таких как Selenium, cURL, PhantomJS или инструменты, разработанные специально для этих типов атак, такие как: Sentry MBA, SNIPR, STORM, Blackbullet и Openbullet.
Атаки с заполнением учетных данных возможны, потому что многие пользователи повторно используют одну и ту же комбинацию имени пользователя и пароля на нескольких сайтах, при этом один опрос показал, что 81% пользователей повторно использовали пароль на двух или более сайтах, а 25% пользователей используют один и тот же пароль на разных сайтах. большинство своих учетных записей.
Атаки с заполнением учетных данных считаются одной из основных угроз для веб-приложений и мобильных приложений из-за большого количества утечек учетных данных. Только в 2016 году в результате утечки данных в Интернете было передано более 3 миллиардов учетных данных.
Термин был придуман Сумитом Агарвалом, соучредителем Shape Security, который работал как Заместитель помощника министра обороны в Пентагоне в то время.
20 августа 2018 года Superdrug Великобритании был был направлен на попытку шантажа, были представлены доказательства того, что хакеры проникли на сайт и скачали записи 20 000 пользователей. Доказательства, скорее всего, были получены в результате взломов и утечек, а затем использовались в качестве источника для атак с заполнением учетных данных для сбора информации для создания поддельных доказательств.
В октябре – ноябре 2016 г. злоумышленники получили доступ к закрытому Репозиторий GitHub, используемый разработчиками Uber (Uber BV и Uber UK), использующий имена пользователей и пароли сотрудников, которые были взломаны в ходе предыдущих взломов. Хакеры заявили, что взломали учетные записи 12 сотрудников с помощью метода заполнения учетных данных, поскольку адреса электронной почты и пароли повторно использовались на других платформах. Хотя много- / двухфакторная аутентификация доступна, она не была активирована для затронутых учетных записей. Впоследствии хакеры обнаружили учетные данные для хранилища данных компании AWS в файлах репозитория и, таким образом, смогли получить доступ к записям 32 миллионов пользователей за пределами США и 3,7 миллиона водителей из других стран, а также других данные, содержащиеся в более чем 100 S3 сегментах. Злоумышленники предупредили Uber, потребовав выплату 100 000 долларов за согласие на удаление данных. Компания заплатила через «программу вознаграждения за ошибки », но не сообщала об инциденте затронутым сторонам более года. После того, как о взломе стало известно, компания была оштрафована на 385 000 фунтов стерлингов (с возможностью уменьшения до 308 000 фунтов стерлингов) Управлением комиссара по информации Великобритании.
Проверка учетных данных - это метод, с помощью которого пользователи получать уведомления, когда пароли взламываются веб-сайтами, веб-браузерами или расширениями паролей.
В феврале 2018 года британский ученый-компьютерщик создал протокол связи (с использованием k-анонимности и криптографического хеширования ) для анонимной проверки, произошла ли утечка пароля, не раскрывая полностью искал пароль. Этот протокол был реализован как общедоступный API в службе Hunt и теперь используется несколькими веб-сайтами и службами, включая менеджеры паролей и расширения браузера. Позднее этот подход был воспроизведен функцией проверки пароля Google. Али работал с учеными из Корнельского университета над разработкой новых версий этого протокола, известных как бакетизация по размеру частоты и бакетизация на основе идентификаторов. В марте 2020 года к этому протоколу было добавлено криптографическое заполнение.
Протокол | Разработчики | Сделаны общедоступными | Ссылки |
---|---|---|---|
k-Anonymity | (Cloudflare ), Трой Хант (Был ли я взят? ) | 21 февраля 2018 г. | |
Бакетизация сглаживания частоты и идентификатор Бакетизация на основе | Корнельский университет (Люси Ли, Биджита Пал, Рахул Чаттерджи, Томас Ристенпарт), Cloudflare (, Ник Салливан) | май 2019 г. | |
Проверка пароля Google (GPC) | Google, Стэнфордский университет | август 2019 г. | |
Active Credential Stuffing Detection | Университет Северной Каролины в Чапел-Хилл (Ке Коби Ван, Майкл К. Рейтер) | декабрь 2019 г. |
Самый популярный инструмент заполнения учетных данных, Sentry MBA, использует файлы конфигурации для целевые веб-сайты, которые содержат всю логику последовательности входа в систему, необходимую для автоматизации попыток входа в систему
| journal =
()| journal =
()| journal =
()