La publication sur le message a été provoquée par des informations sur la prochaine fuite importante de données personnelles sur le réseau, je voulais juste laisser un commentaire, mais à la fin je suis arrivé à la conclusion que le problème devrait être résolu un peu plus en profondeur.
Toutes les coïncidences sont accidentelles, le texte ci-dessous est simplement le résultat des délires d'un cheval fatigué de travailler dans le vide et a pour objectif d'augmenter le niveau de sécurité et d'hygiène des informations parmi les utilisateurs du réseau.
Il est possible que les services publics en ligne pour vérifier la confirmation de la fuite de données aient également pour objectif d'augmenter le coût de ces données pour les ventes secondaires. Surtout si la structure des données divulguées n'est pas plate, mais est passée par agrégation avec d'autres sources cibles, c'est-à-dire quelque chose de plus que l'email => mot de passe.
Par exemple, supposons qu'il existe un résultat de l'agrégation de données divulguées pour diverses bases de données:
{ "firstServiceName.com" : { "type" : "emailService", "properties" : { "email1@example.com" : "password1", "email2@example.com" : "password2" } }, "secondServiceName.com" : { "type" : "paymentsGate", "properties" : { "email" : "email2@example.com", "type" : "Visa", "fullName" : "Ivan Ivanov", "cardId" : "XXXX-XXXX-XXXX-XXXX" "cvc" : "12345", ... }, ... }
Ensuite, vous pouvez effectuer une première évaluation de la valeur potentielle des données pour les individus malveillants. De toute évidence, le coût des données de secondServiceName.com est potentiellement plus élevé que pour firstServiceName.com. Ensuite, la logique d'une monétisation supplémentaire des données est formée, généralement de deux manières.
1) Primitif et sûr. A partir de données à faible coût, des données plates de type "email1 => mot de passe1" sont sélectionnées, une sorte d'appât se forme. De plus, ces données plates sont agrégées dans une collection et des "fuites" sont publiées sur des sites spécialisés non publics. Si le coût potentiel des données reflet (secondServiceName.com, ...) est important et limité en termes de durée de vie (cvc, hachages cvc pour des fournisseurs spécifiques), la publication reçoit alors une «publicité» supplémentaire, le maximum possible, y compris la «publicité» partager via les réseaux sociaux et d'autres outils disponibles.
2) Complexe et dangereux. Comme en 1), seuls les auteurs / bénéficiaires de la monétisation des données créent en outre les mêmes services de vérification des fuites de données. C'est soit la voie pour les débutants, soit lorsque la somme de la monétisation potentielle des données est énorme.
Le public cible est plutôt inerte et ne se souciera pas de rechercher les mêmes torrents avec le contenu de la "fuite de données", donc tôt ou tard les utilisateurs viennent sur des sites spécialisés pour vérifier les fuites de données et une demande de vérification est alors faite.
Si l'utilisateur ne trouve rien, les données relatives à sa demande de vérification sont collectées dans une base de données distincte. Cet utilisateur est en direct. En comparant les dates de début de la campagne avec la publication et la date de la demande, vous pouvez évaluer la vivacité de l'utilisateur. Oui, le fait que le résultat du chèque ait été émis vide ne signifie nullement que ses données ne figurent pas parmi les fuites.
De plus, si le type de données structurées est assez précieux et contient des méthodes directes et simples de "monétisation" (voir les données de secondServiceName.com), également si l'utilisateur est actif et effectue une recherche, alors la probabilité supplémentaire de monétisation des données est réduite, car les mots de passe peuvent être modifiés, les cartes sont bloquées, etc. Les bénéficiaires de la fuite vendent rapidement ces données en tant que bases de données distinctes aux mêmes cardeurs et autres attaquants à un prix hypothétique de X.
Après un certain temps depuis que la fuite a été organisée, le diff est formé en fonction des données qui n'ont pas été demandées lors des vérifications, puis est stocké dans l'archive pour des agrégations ultérieures avec de nouvelles fuites, ou si le type de données a une longue méthode de monétisation, ces données sont également vendues en partie, mais à un prix hypothétique de 3X.
Par conséquent, si votre sécurité est vraiment importante pour vous, alors il est logique de ne pas utiliser les services populaires dont les propriétaires de l'entreprise avaient déjà été condamnés pour avoir perdu des données utilisateur. Soit complètement, soit pour vous limiter autant que possible dans la diffusion des informations personnelles. Si, après avoir payé des marchandises sur un site, vous recevez un chèque électronique, dans l'URL de quelles variables comme cvcHash se trouvent, il est logique de ne pas acheter via de tels services. Heureusement, ils sont peu nombreux et ne sont représentés que dans les régions défavorisées de la planète.
En cas de fuites globales, il n'est pas recommandé d'utiliser les services de vérification en ligne et d'être en quelque sorte actif via les moteurs de recherche (google). Si vous êtes une personne assez populaire et publique, il est théoriquement possible de déterminer votre désir de faire un tel contrôle à travers une publicité ciblée (attaque personnalisée).
Si vous soupçonnez une fuite de données ou s'il y a des fuites publiques massives (médiatisées) qui pourraient entraîner la perte de vos données, vous devez changer les mots de passe pour ces services ciblés via https avec une vérification visuelle des informations dans le certificat de sécurité et sans utiliser de niveaux de réseau supplémentaires (tor / obfs et plus).
Le monde de la technologie évolue constamment; les moyens potentiels de nuire à quelqu'un sur le réseau évoluent également. Surveillez toujours votre sécurité en ligne et ne publiez rien de valeur qui pourrait attirer l'attention des attaquants et vous nuire à l'avenir. Assurez-vous d'enseigner à vos enfants, à vos proches et à vos connaissances comment se comporter en toute sécurité en ligne.