A publicação sobre o post foi motivada por informações sobre o próximo grande vazamento de dados pessoais na rede, eu só queria deixar um comentário, mas no final cheguei à conclusão de que o problema deveria ser resolvido um pouco mais extensivamente.
Todas as coincidências são acidentais, o texto abaixo é simplesmente o resultado de delírios de um cavalo cansado do trabalho no vácuo e tem o objetivo de aumentar o nível de segurança e higiene das informações entre os usuários da rede.
É possível que os serviços online públicos para verificar a confirmação do vazamento de dados também tenham o objetivo de aumentar o custo desses dados para vendas secundárias. Especialmente se a estrutura dos dados vazados não for plana, mas transmitida pela agregação com outras fontes de destino, ou seja, algo mais do que email => senha.
Por exemplo, suponha que haja um resultado da agregação de dados vazados para vários bancos de dados:
{ "firstServiceName.com" : { "type" : "emailService", "properties" : { "email1@example.com" : "password1", "email2@example.com" : "password2" } }, "secondServiceName.com" : { "type" : "paymentsGate", "properties" : { "email" : "email2@example.com", "type" : "Visa", "fullName" : "Ivan Ivanov", "cardId" : "XXXX-XXXX-XXXX-XXXX" "cvc" : "12345", ... }, ... }
Em seguida, você pode fazer uma avaliação inicial do valor potencial dos dados para indivíduos mal-intencionados. Obviamente, o custo dos dados do secondServiceName.com é potencialmente mais alto que o do firstServiceName.com. Em seguida, a lógica da monetização adicional de dados é formada, geralmente de duas maneiras.
1) Primitivo e seguro. A partir de dados com baixo custo, dados simples do tipo "email1 => senha1" são selecionados, um tipo de isca é formado. Além disso, esses dados simples são agregados em uma coleção e "vazamentos" são publicados em sites especializados não públicos. Se o custo potencial dos dados shadow (secondServiceName.com, ...) for grande e limitado em termos de vida útil (cvc, hashes de cvc para fornecedores específicos), a publicação receberá "publicidade" adicional, o máximo possível, incluindo "publicidade" compartilhar através de redes sociais e outras ferramentas disponíveis.
2) complexo e perigoso. O mesmo que em 1), apenas os autores / beneficiários da monetização de dados criam adicionalmente os mesmos serviços de verificação de vazamento de dados. Esse é o caminho para iniciantes ou quando a soma da monetização potencial de dados é enorme.
O público-alvo é bastante inerte e não se preocupa em procurar os mesmos torrents com o conteúdo do "vazamento de dados"; portanto, mais cedo ou mais tarde, os usuários acessam sites especializados para verificar o vazamento de dados e, em seguida, é feito um pedido de verificação.
Se o usuário não encontrar nada, os dados sobre sua solicitação de verificação serão coletados em um banco de dados separado. Este usuário está ativo. Ao comparar as datas de início da campanha com a publicação e a data da solicitação, você pode avaliar a vivacidade do usuário. Sim, o fato de o resultado da verificação ter sido emitido vazio não significa que seus dados não estejam entre os vazados.
Além disso, se o tipo de dados estruturados for bastante valioso e contiver métodos diretos e simples de “monetização” (consulte os dados de secondServiceName.com), também se o usuário estiver ativo e realizar uma pesquisa, a probabilidade adicional de monetizar dados será reduzida, porque as senhas podem ser alteradas, os cartões são bloqueados e muito mais. Os beneficiários do vazamento vendem rapidamente esses dados como bancos de dados separados para os mesmos cardadores e outros atacantes a um preço hipotético de X.
Depois de um certo tempo desde que o vazamento foi organizado, o diff é formado de acordo com os dados que não foram solicitados pelas verificações e, em seguida, são armazenados no arquivo morto para agregações subsequentes com novos vazamentos ou se o tipo de dados tiver um método longo de monetização, esses dados também serão vendidos em partes, mas a um preço hipotético de 3X.
Portanto, se sua segurança é realmente importante para você, faz sentido não usar serviços populares cujos proprietários da empresa foram anteriormente condenados por perda de dados do usuário. Completamente ou para limitar-se o máximo possível na distribuição de informações pessoais. Se, depois de pagar pelas mercadorias em qualquer site, você receber um cheque eletrônico, na URL onde são encontradas variáveis como cvcHash, faz sentido não comprar através desses serviços. Felizmente, existem poucos e estão representados apenas em regiões desfavorecidas do planeta.
No caso de vazamentos globais, não é recomendável usar os serviços de verificação on-line e estar ativo de alguma forma através dos mecanismos de pesquisa (google). Se você é uma pessoa bastante popular e pública, teoricamente é possível determinar seu desejo de fazer essa verificação através de publicidade direcionada (ataque personalizado).
Se você suspeitar de um vazamento de dados ou se houver vazamentos públicos maciços (de alto perfil na mídia) que possam levar à perda de seus dados, você precisará alterar as senhas para esses serviços direcionados por https com uma verificação visual das informações no certificado de segurança e sem o uso de níveis de rede adicionais (tor / obfs e mais).
O mundo da tecnologia está em constante evolução; maneiras potenciais de prejudicar alguém na rede também estão em evolução. Sempre monitore sua segurança online e não publique nada de valor que possa atrair a atenção dos invasores e prejudicá-lo no futuro. Certifique-se de ensinar seus filhos, entes queridos e conhecidos como se comportar com segurança online.