有关该帖子的出版物是由有关网络上下一次重大个人数据泄露的信息引起的,我只想发表评论,但最后我得出的结论是,应该更广泛地解决该问题。
所有巧合都是随机的,下面的文字仅是对一头厌倦了真空工作的马的妄想性思考的结果,其目标是提高网络用户之间的信息安全性和卫生水平。
验证数据泄漏确认的公共在线服务也可能具有增加此类数据用于二次销售的成本的目标。 特别是如果泄漏的数据的结构不是平坦的,而是通过与其他目标源(即 除了电子邮件=>密码之外,还有其他功能。
例如,假设存在各种数据库泄漏数据的汇总结果:
{ "firstServiceName.com" : { "type" : "emailService", "properties" : { "email1@example.com" : "password1", "email2@example.com" : "password2" } }, "secondServiceName.com" : { "type" : "paymentsGate", "properties" : { "email" : "email2@example.com", "type" : "Visa", "fullName" : "Ivan Ivanov", "cardId" : "XXXX-XXXX-XXXX-XXXX" "cvc" : "12345", ... }, ... }
接下来,您可以对恶意人员的数据潜在价值进行初步评估。 显然,secondServiceName.com数据的成本可能高于firstServiceName.com。 接下来,通常以两种方式形成进一步的数据货币化逻辑。
1)原始且安全。 从低成本的数据中,选择类型为“ email1 => password1”的平面数据,形成一种诱饵。 此外,这些平面数据被汇总到一个集合中,并且“泄漏”在非公共专业站点上发布。 如果影子数据(secondServiceName.com,...)的潜在成本很大并且在生命周期方面受限制(特定提供者的cvc,cvc哈希值),则为发布提供额外的“公开”,最大可能的公开性,包括“广告”通过社交网络和其他可用工具进行共享。
2)复杂而危险。 与1)中的相同,仅数据货币化的作者/受益者还创建了相同的数据泄漏验证服务。 这或者是初学者的方式,或者是潜在的数据货币化之和巨大的时候。
目标受众是相当惰性的,不会为搜索带有“数据泄漏”内容的相同种子而烦恼,因此迟早的用户会到专业站点检查数据泄漏,然后提出验证请求。
如果用户未找到任何内容,则会在单独的数据库中收集有关其验证请求的数据。 该用户是在线用户。 通过将活动的开始日期与发布日期和请求日期进行比较,可以评估用户的活泼性。 是的,检查结果为空签发这一事实并不意味着它的数据不在泄漏之列。
此外,如果结构化数据的类型非常有价值,并且包含直接简单的“获利”方法(请参见secondServiceName.com中的数据),并且如果用户处于活动状态并进行搜索,则可以降低获利的可能性 可以更改密码,阻止卡等等。 泄漏的受益人迅速以假设的价格X将这些数据作为单独的数据库出售给相同的证人和其他攻击者。
从组织泄漏开始经过了一定时间后,根据未通过检查请求的数据形成差异,然后将其存储在存档中以进行新泄漏的后续聚合,或者如果数据类型的货币化方法较长,则也会分批出售此类数据,但是假设价格是3倍。
因此,如果您的安全对您来说真的很重要,那么就不要使用公司所有者先前因丢失用户数据而被定罪的流行服务。 在发布个人信息时要么完全要么限制自己。 如果您在任何站点上付款后都收到了电子支票,并且在其网址中找到了诸如cvcHash之类的变量,那么不要通过此类服务进行购买是有意义的。 幸运的是,它们很少,而且仅在地球上的贫困地区有代表。
如果发生全球性泄漏,建议您不要使用在线验证服务,并且不建议通过搜索引擎(google)使其活跃。 如果您是一个相当受欢迎的公众人物,那么从理论上讲,可以通过有针对性的广告(个性化攻击)来确定您是否希望进行此类检查。
如果您怀疑数据泄漏或有可能导致数据丢失的大量公共媒体泄漏(媒体备受关注),则需要通过https更改这些目标服务的密码,并对安全证书中的信息进行目视检查,而无需使用其他网络级别(tor / obfs等)。
技术世界在不断发展;损害网络上某人的潜在方法也在不断发展。 始终监视您的在线安全,不要发布任何可能引起攻击者注意并在将来伤害您的有价值的东西。 确保教您的孩子,亲人和熟人如何安全地上网。