credential stuffing

  • Потребители на LastPass, защитете акаунтите си

    Клиенти на един от най-популярните мениджъри за пароли, LastPass, съобщават, че техните мастър пароли може да са били компрометирани. Те са получили предупреждения по имейл, че някой се е опитал да влезе в акаунтите им. Уведомленията гласят, че неправомерните опити са блокирани, тъй като са направени от непознати места по целия свят.

    Някои клиенти съобщават за повторни съобщения за нерегламентирано влизане, дори след като са променили главните си пароли.

    Става дума за credential stuffing, твърди компанията. И добавя, че няма индикации за успешен достъп до акаунти на потребители или друг вид  компрометиране на услугата от неупълномощено лице.

    Препоръка:

    Активирайте многофакторна автентификация (MFA) за достъп во вашия LastPass акаунт, за да го защитите, дори ако главната му парола е била компрометирана.

     

  • 350 хил. потребители на Spotify са жертва на credential stuffing

    Изследователи от vpnMentor са открили свободно достъпна Elasticsearch инстанция, съдържаща близо 380 млн. записа с потребителски имена и пароли. Около 350 хил. от тези креденшъли са използвани в credential stuffing атака срещу потребители на музикалната стрийминг платформа Spotify.

    Spotify са били уведомени за откритието през юли 2020 г. След като е потвърдила легитимността на данните, компанията е ресетнала незабавно паролите на всички засегнати потребители.

    Инцидентът не произхожда от Spotify.  Данните най-вероятно са получени незаконно или потенциално са изтекли от други източници, а впоследствие са използвани в автоматизирано превземане на акутни (ATO) на Spotify.

    АТО чрез credential stuffing е било възможно, защото Spotifty са нямали имплементирана bot management защита и MFA механизъм за автентикация на потребителите.

    Препоръки

    Потребителите могат да се защитят от подобни атаки чрез използването на силни, уникални пароли за всяка отделна услуга и прилагането на многофакторно удостоверяване, когато това е възможно.

  • 2.2 млрд. крадени имейли и пароли изплуваха в интернет

    Екип на германския институт Hasso-Plattner Institute(HPI) е открил огромен масив с 25 млрд. записа на имейл адреси и пароли, публикуван в интернет. Масивът е с размер 845 гигабайта и вероятно е най-големият по рода си: поне като обем на данните.

    Разделен е на четири отделни файла: Collection#2, Collection#3, Collection#4, Collection#5, Както имената подсказват, той е наследник на Collection#1, който се появи две седмици по-рано. Неговият размер беше далеч по-малък – едва 87 гигабайта и съдържаше 773 млн. имейл адреса.

    Прогнозата на HPI е, че от петте колекции с данни за достъп могат да се създадат общо 2.2 млрд. уникални комбинации от имейл адреси и пароли. Все още обаче не е ясно каква част от изтеклите данни са публикувани и преди в интернет, и каква – не. Вероятно някои от данните се дублират многократно или пък са публикувани в мрежата преди години, а сега просто са събрани на едно място.

    Дори и това да е така, събраните данни със сигурност представляват един от най-големите масиви с крадени данни за достъп в историята.

    Всяка база данни с крадени имейли и пароли е ценна за хакерите, които използват credential stuffing. Това е автоматизирана атака, при която хакерът се опитва да пробие даден акаунт, тествайки произволни комбинации от имейл адрес и парола, докато накрая познае вярната. Колкото повече записи съдържа базата данни, толкова по-голяма е ефективността й при credential stuffing атака.

    Съвети за потребителите

    • Използвайте този инструмент на HPI, за да проверите дали имейл адресът ви се намира в базата данни;
    • Използвайте различни пароли за всеки отделен акаунт, който си правите;
    • Използвайте двуфакторна автентикация там, където е възможно;
    • Използвайте силни, трудни за отгатване пароли;
Back to top button