ฉันได้รับการแจ้งเตือนให้คุณทราบถึงการรั่วไหลของข้อมูลแม้ในขณะที่เว็บไซต์ไม่ได้รับก็ตาม
แม้จะมีความก้าวหน้าด้านความปลอดภัยของข้อมูล แต่ บริษัท ที่ใหญ่ที่สุดในโลกหลายแห่งยังคงตกเป็นเหยื่อของการละเมิดข้อมูล. Troy Hunt ผู้ก่อตั้ง Have I Be Pwned, บอกเราว่าการละเมิดเหล่านี้เกิดขึ้นได้อย่างไรการใช้ข้อมูลที่ถูกขโมยผลกระทบต่อ บริษัท และบุคคลและที่สำคัญที่สุด – มอบเครื่องมือให้เราทราบว่าข้อมูลส่วนบุคคลของเราถูกบุกรุกหรือไม่และจะปกป้องตนเองได้ดีที่สุดหลังจากข้อเท็จจริง.
คุณเข้าสู่ระบบความปลอดภัยออนไลน์ได้อย่างไร?
พื้นหลังของฉันอยู่ในการพัฒนาซอฟต์แวร์ต่อมามีความเชี่ยวชาญในสถาปัตยกรรมแอปพลิเคชัน เมื่อฉันทำงานให้กับ บริษัท ยารายใหญ่พวกเขาจ้างการพัฒนาทั้งหมดของพวกเขาให้กับผู้ขายที่มีต้นทุนต่ำในตลาดเอเชียแปซิฟิกและรับซอฟต์แวร์ที่น่ากลัวที่คุณคาดหวังจากผู้เสนอราคาต่ำสุด ฉันเห็นช่องโหว่ความปลอดภัยที่แตกต่างกันซึ่งสำหรับฉันชัดเจนมาก แต่สำหรับพวกเขาไม่มาก ดังนั้นเพื่อให้ความรู้แก่ผู้อื่นฉันจึงเริ่มเขียนบล็อกเกี่ยวกับช่องโหว่ด้านความปลอดภัยและวิธีจัดการกับพวกเขาในรหัสแอปพลิเคชัน ในเวลานั้นมีสิ่งที่ไม่ดีนักสำหรับนักพัฒนาซอฟต์แวร์ดังนั้นนี่จึงเป็นการเติมเต็มความต้องการและส่วนที่เหลือคือประวัติศาสตร์.
ช่องโหว่ความปลอดภัยที่พบบ่อยที่สุดที่คุณค้นพบคืออะไร?
ทุกสิ่งที่ชัดเจนเช่นการฉีด SQL, การอ้างอิงวัตถุที่ไม่ปลอดภัยโดยตรง, การจัดเก็บรหัสผ่านไม่ดี, ขาดการเข้ารหัสเลเยอร์การขนส่ง โดยทั่วไปทุกอย่างใน OWASP 10 อันดับแรก, เอกสารที่เป็นที่ยอมรับมากที่สุดเกี่ยวกับวิธีการรักษาความปลอดภัยแอปพลิเคชันถูกต้องถูกทำผิดอย่างต่อเนื่อง.
แต่ บริษัท ต่างๆใช้เงินเป็นจำนวนมากในการปกป้องข้อมูล มันเป็นวิธีที่ถูกบุกรุกได้ง่าย?
มันเป็นสิ่งที่น่าสนใจ เราเห็น บริษัท ขนาดใหญ่ที่มีงบประมาณด้านความปลอดภัยขนาดใหญ่มุ่งเน้นไปที่สิ่งต่าง ๆ เช่นระบบที่สำคัญและการพัฒนาภายใน แต่พวกเขาไม่จำเป็นต้องขยายการมุ่งเน้นไปที่สิ่งอื่นใดในรอบนอก จึงมีคำถามว่าเมื่อใดที่จะใช้การรักษาความปลอดภัย หลายองค์กรยังคงมีซอฟต์แวร์ “สร้าง” (ทำใบเสนอราคาทางอากาศ!) เสร็จสิ้นและทดสอบโดยผู้จำหน่ายและใช้การรักษาความปลอดภัยเมื่อมีการส่งมอบเท่านั้น ดังนั้นการรักษาความปลอดภัยของพวกเขาจะระบุปัญหาด้านความปลอดภัยทั้งหมดในเวลาที่เลวร้ายที่สุดซึ่งเป็นช่วงสิ้นสุดโครงการ.
ยิ่งวงจรชีวิตของโครงการที่คุณไปลงมีราคาแพงมากขึ้นเท่าไหร่ก็ยิ่งมีค่ามากขึ้นในการแก้ไขข้อบกพร่องเหล่านี้โดยการย้อนกลับการเขียนรหัสใหม่การทดสอบการรวมระบบซ้ำการทดสอบการยอมรับของผู้ใช้เป็นต้นฉันหมายความว่า ฉันต้องการช่วยให้ บริษัท หลีกเลี่ยงความเสี่ยงนั้นในตอนแรก.
บริษัท จะรู้ได้อย่างไรว่าพวกเขาถูกละเมิดและข้อมูลใดถูกขโมย?
(หัวเราะ) บ่อยครั้งที่ บริษัท ต่างๆรู้ว่าพวกเขาถูกละเมิดเมื่อฉันบอกพวกเขา! ไม่ผิดปกติที่องค์กรแรกรู้เรื่องการละเมิดข้อมูลคือเมื่อมีคนอย่างฉันเข้าใกล้พวกเขาด้วยฐานข้อมูลของพวกเขา องค์กรส่วนใหญ่แม้แต่เว็บไซต์ที่ใหญ่ที่สุดหรือสำคัญที่สุดบางแห่งของโลกก็ไม่พร้อมที่จะระบุว่ามีการบุกรุกเกิดขึ้นเมื่อใดและข้อมูลกำลังถูกกรอง.
คิดถึง Sony Pictures ฉันหมายถึงการโจมตีเกิดขึ้นเป็นระยะเวลานานโดยดูดข้อมูลจำนวนมหาศาลออกจากระบบต่าง ๆ มากมายและสิ่งแรกที่พวกเขารู้ก็คือเมื่อพนักงานเห็น “แฮ็คโดยผู้พิทักษ์แห่งสันติภาพ” บนหน้าจอ.
ข้อมูลประเภทใดที่เป็นแฮ็กเกอร์?
สิ่งใดก็ตามบนอินเทอร์เน็ตคือเป้าหมาย ชื่อผู้ใช้และรหัสผ่านมีค่าอย่างยิ่งเพราะการใช้รหัสผ่านซ้ำหมายความว่าคุณอาจมีกุญแจสำคัญในเว็บไซต์อื่น ๆ มากมาย เห็นได้ชัดว่ามีลักษณะทางการเงินเช่นรายละเอียดบัตรเครดิตและข้อมูลบัญชีธนาคารเป็นรายการโปรดเก่า ข้อมูลที่มีการแปลงเป็นข้อมูลดิจิทัลภายในองค์กรโดยเฉพาะอย่างยิ่งสิ่งใดก็ตามที่ได้รับการสนับสนุนจากรัฐนั้นมีประโยชน์มากสำหรับการจารกรรมขององค์กร แต่มีผู้คนมากมายที่นั่นส่วนใหญ่เป็นเด็ก ๆ ที่ต้องการรางวัลเพียงอย่างเดียว พวกเขาไม่สนใจว่าข้อมูลมีค่าอย่างไร พวกเขาไม่สนใจว่าจะเป็นเว็บไซต์ประเภทใดพวกเขามีความสุขที่จะเข้าไปและทำให้เว็บไซต์เป็นสถานที่.
ข้อมูลที่ถูกขโมยมีผลกระทบต่อ บริษัท และบุคคลทั่วไปอย่างไร?
ขึ้นอยู่กับประเภทของข้อมูล หากข้อมูลไม่ไวต่อความรู้สึกอาจส่งผลกระทบเล็กน้อยต่อบุคคล แต่มีผลกระทบอย่างมากจากการทำลายชื่อเสียงขององค์กรที่ถูกละเมิด สำหรับ Sony Pictures มันเป็นหนังที่ยังไม่เผยแพร่ซึ่งเป็นทรัพย์สินทางปัญญาที่มีค่า.
ข้อมูลประจำตัวสามารถใช้ในการเจาะเข้าบัญชีการส่งสแปมและฟิชชิ่งที่ตรงเป้าหมายมาก ในกรณีของแอชลีย์เมดิสันเราเห็นความพยายามแบล็กเมล์ซึ่งเป็นเพียงการรวมจดหมายโดยใช้ข้อมูลจากการละเมิด น่าเสียดายที่สิ่งนี้ส่งผลให้มีการลาออกการหย่าร้างและแม้แต่การฆ่าตัวตายดังนั้นผลกระทบอาจรุนแรงมาก.
บริษัท ต้องแจ้งให้บุคคลอื่นทราบถึงการละเมิดข้อมูลหรือไม่?
ขึ้นอยู่กับเขตอำนาจของคุณ ยกตัวอย่างเช่นในออสเตรเลียเรามีกฎหมายการเปิดเผยที่ค่อนข้างเบา ในความเป็นจริงเราเพิ่งมีกฎหมายการเปิดเผยข้อมูลเป็นครั้งแรกเมื่อปีที่แล้ว หาก บริษัท มีรายได้น้อยกว่า 3,000,000 ดอลลาร์ออสเตรเลียต่อปีซึ่งมากกว่า 90% ของธุรกิจออสเตรเลียหรือหากข้อมูลที่ละเมิดไม่น่าจะก่อให้เกิดอันตรายร้ายแรงก็ไม่จำเป็นต้องเปิดเผย.
ภายใต้จีดีพีในยุโรปแนวทางมีความเข้มงวดมากขึ้น มีความเชื่อมั่นเป็นส่วนตัวมากขึ้นว่าข้อมูลส่วนบุคคลเป็นของบุคคลมากกว่า บริษัท และการเปิดเผยข้อมูลในทางที่ผิดควรเปิดเผย ฉันคิดว่าองค์กรไม่ว่าพวกเขาจะอยู่ที่ไหนควรตระหนักว่าแม้ว่าจะเป็นเพียงที่อยู่อีเมลของฉันก็ตาม MY ที่อยู่อีเมลและหากคุณทำหายหรือถูกเปิดเผยฉันควรได้รับแจ้ง.
ทำไมคุณถึงเริ่มมีฉันได้รับการ Pwned และมันให้บริการอะไร?
ฉันทำการวิเคราะห์การละเมิดข้อมูลจำนวนมากเมื่อประมาณปี 2013 และเห็นรูปแบบที่น่าสนใจเช่นที่อยู่อีเมลที่ปรากฏในการละเมิดข้อมูลหลายครั้งมักมีรหัสผ่านเดียวกัน เรารู้อยู่แล้วว่าผู้คนใช้ข้อมูลประจำตัวเดียวกันเพื่อเข้าสู่ระบบหลาย ๆ เว็บไซต์ แต่มันก็น่าสนใจที่จะเห็นข้อมูล อีกสิ่งหนึ่งที่ฉันอยากรู้ก็คือคนจำนวนมากที่เคยมีการรั่วไหลของข้อมูลไม่รู้ตัว ดังนั้นฉันจึงต้องการสร้างบริการรวมที่ผู้คนสามารถรับภาพรวมของภาพรวมที่ดีขึ้นและเปิดเผยข้อมูลของพวกเขามากน้อยเพียงใด นั่นคือแหล่งกำเนิดสำหรับฉันได้รับการ Pwned.
คุณจะรับฐานข้อมูลที่ละเมิดได้อย่างไร?
ตอนแรกฉันออกไปและคว้าข้อมูลที่เปิดเผยต่อสาธารณชน เมื่อเวลาผ่านไปเมื่อโครงการเริ่มได้รับการสนับสนุนจากประชาชนจำนวนมากผู้คนจำนวนมากขึ้นมาข้างหน้าและให้ข้อมูลกับฉันจากการฝ่าฝืน แค่สุดสัปดาห์นี้ฉันมีใครบางคนโผล่ขึ้นมาจากฟ้าและส่งข้อมูลจำนวนมากจากการฝ่าฝืนที่แตกต่างกันเจ็ดครั้งส่วนใหญ่ประกอบด้วยการบันทึกหลายสิบล้านรายการต่อ.
ถามคำถามที่คุณรู้ว่าใครคือคนเหล่านี้ พวกเขาเป็นคนเลวหรือไม่ พวกเขาเป็นคนที่เพียงแค่แลกเปลี่ยนข้อมูลหรือไม่? ความเป็นจริงของมันคือทุกอย่าง ฉันแน่ใจว่าในบางกรณีพวกเขาเป็นคนที่บุกรุกกลุ่มข้อมูลจริง แต่ในกรณีส่วนใหญ่เป็นคนที่ทำงานอดิเรกในการรวบรวมและตรวจสอบการรั่วไหลของข้อมูลโดยไม่ระบุชื่อ.
มีนักวิจัยด้านความปลอดภัยหมวกขาวมืออาชีพหลายคนที่จะติดต่อกับองค์กรทำให้พวกเขารู้ว่าข้อมูลของพวกเขาได้รับการเปิดเผยและบางครั้งก็เป็นแนวทางในการปกป้องพวกเขาในอนาคต เมื่อการละเมิดได้รับการแก้ไขแล้วพวกเขาจะให้ข้อมูลกับฉันและขอให้ฉันระบุพวกเขาเป็นแหล่งที่มาเพื่อเผยแพร่พวกเขา.
แปะคืออะไร?
การวางคือข้อความที่วางอยู่บนเว็บไซต์อย่างแท้จริง คุณสามารถไปที่บริการอย่างเช่น Pastebin วางในข้อความบันทึกและคุณมี URL ที่คุณสามารถแชร์กับผู้อื่นได้ ข้อมูลจากการรั่วไหลมักจะปรากฏขึ้นเป็นครั้งแรกในน้ำพริกเนื่องจากแฮกเกอร์จะวางส่วนของข้อมูลเป็นหลักฐานว่าพวกเขาได้เข้าถึงระบบ.
แม้ว่านี่จะเป็นตัวบ่งชี้เริ่มต้นที่ดีของข้อมูลที่ละเมิด แต่ก็มีขยะจำนวนมากเช่นกันดังนั้นเมื่อใดก็ตามที่พบที่อยู่อีเมลเรามีลิงก์ไปยังการวางเพื่อให้คุณสามารถตัดสินใจได้ว่าคุณต้องทำอะไรหรือไม่.
คุณแนะนำการกระทำใดสำหรับบุคคลที่ถูกขโมยข้อมูล?
มันขึ้นอยู่กับลักษณะของข้อมูลจริงๆ หากเป็นรหัสผ่านที่นำกลับมาใช้ใหม่ในที่อื่นต้องเปลี่ยนในทุก ๆ ไซต์ เครื่องมือจัดการรหัสผ่านเป็นเครื่องมือที่ดีในการทำให้เป็นเอกลักษณ์ทั้งหมด หากเป็นรหัสผ่านในไซต์เดียวนั้นจะง่ายกว่ามาก นอกจากนี้เมื่อไซต์ทราบถึงการละเมิดข้อมูลพวกเขามักจะรีเซ็ตรหัสผ่านทั้งหมดอยู่ดี หากเป็นเรื่องส่วนตัวมากกว่าบัตรเครดิตให้ไปข้างหน้าแล้วยกเลิกบัตร หากเป็นที่อยู่บ้านหมายเลขโทรศัพท์หรือวันเดือนปีเกิดของคุณสิ่งเหล่านี้คือสิ่งที่คุณจะไม่เปลี่ยนแปลงเนื่องจากการฝ่าฝืนข้อมูล แต่เป็นความคิดที่ดีที่จะใช้บริการตรวจสอบเครดิตเนื่องจากเป็นประเภทที่ ของข้อมูลที่ใช้สำหรับการขโมยข้อมูลประจำตัว.
เวิร์กช็อป“ Hack Yourself First” คืออะไร?
ฉันใช้งาน “Hack Yourself First” เวิร์กช็อป 2 วันประมาณ 80 ครั้งทั่วโลกในช่วงสี่ปีที่ผ่านมา ได้รับการออกแบบมาเพื่อช่วยนักพัฒนาซอฟต์แวร์ผู้ดูแลระบบผู้เชี่ยวชาญด้านไอที ฯลฯ เข้าใจว่าช่องโหว่ด้านความปลอดภัยของพวกเขาถูกโจมตีเพื่อให้พวกเขาสามารถป้องกันตัวเองได้ดีขึ้น ฉันพาผู้เข้าร่วมตลอดวงจรชีวิตเต็ม นี่คือวิธีการฉีด SQL ทำงาน – นี่คือวิธีที่ผู้โจมตีได้รับข้อมูล – และแน่นอนนี่คือวิธีเขียนโค้ดดังนั้นจึงไม่เกิดขึ้นกับคุณ.