«Никто не выше этого – компании или национальные государства – это собирается произойти; это – просто вопрос того, когда», сказал Алекс К. Сноерен, ведущий автор газеты и преподаватель информатики в Школе Джейкобса Разработки в Калифорнийском университете Сан-Диего.Один процент не мог бы походить на много.
Но, учитывая, что есть более чем миллиард интернет-сайтов, это означает, что десятки миллионов веб-сайтов могли нарушаться каждый год, сказали Джо Деблазио, один из аспирантов Сноерена и первого автора газеты.Еще более страшный, исследователи нашли, что популярные места были так же вероятны быть взломанными как непопулярные.
Это означает, что из лучших 1 000 наиболее посещаемых интернет-сайтов, десять, вероятно, будут взламываться каждый год.«Один процент действительно крупных принадлежавших магазинов ужасающий», сказал Деблазио.Команда исследователей в Сан-Диего UC представила инструмент в ноябре на интернет-Конференции по Измерению ACM в Лондоне.Понятие позади инструмента, названного Растяжкой, относительно просто.
DeBlasio создал личинку, которая регистрирует и создает счета в большом количестве веб-сайтов – приблизительно 2 300 были включены в их исследование. Каждый счет связан с уникальным адресом электронной почты.
Инструмент был разработан, чтобы использовать тот же самый пароль для почтового ящика и счета веб-сайта, связанного с той электронной почтой. Исследователи тогда ждали, чтобы видеть, использовала ли внешняя сторона пароль, чтобы получить доступ к почтовому ящику. Это указало бы, что сведения об аккаунте веб-сайта были пропущены.Чтобы удостовериться, что нарушение было связано со взломанными веб-сайтами а не почтовым поставщиком или их собственной инфраструктурой, исследователи создают контрольную группу.
Это состояло больше чем из 100 000 почтовых ящиков, которые они создали с тем же самым почтовым поставщиком, используемым в исследовании. Но программисты не использовали адреса, чтобы зарегистрироваться на веб-сайтах.
Ни к одному из этих почтовых ящиков не получили доступ хакеры.В конце исследователи решили, что 19 веб-сайтов были взломаны, включая известный американский стартап больше чем с 45 миллионами активных клиентов.Как только счета были нарушены, исследователи вошли в контакт со службами безопасности мест, чтобы предупредить их о нарушениях.
Они обменялись электронными сообщениями и телефонными звонками. «Я был поощрен, что большие места, с которыми мы взаимодействовали, отнеслись к нам серьезно», сказал Сноерен.Все же ни один из веб-сайтов не принял решение раскрыть их клиентам нарушение, которое раскрыли исследователи. «Я был несколько удивлен, что никто не действовал на наши результаты», сказал Сноерен.
Исследователи решили не назвать компании в своем исследовании.«Действительность – то, что эти компании не добровольно предлагали быть частью этого исследования», сказал Сноерен. «Делая это, мы открыли их до огромного финансового и юридического воздействия.
Таким образом, мы решили возложить ответственность на них раскрыть».Интересно, очень немногие нарушенные счета использовались, чтобы послать спам, как только они стали уязвимыми. Вместо этого хакеры обычно просто контролировали почтовый трафик.
Деблазио размышляет, что хакеры контролировали электронные письма, чтобы получить ценную информацию, такую как счета банковской и кредитной карты.Исследователи пошли шаг вперед.
Они создали по крайней мере два счета за веб-сайт. У одного счета был «легкий» пароль – ряды семисимвольных слов с их первым письмом, использованным для своей выгоды и сопровождаемым единственной цифрой. Эти виды паролей обычно – первые пароли, которые предположат хакеры. У другого счета был «трудный» пароль – случайные 10 строк символов чисел и писем, и в нижнем и верхнем регистре, без специальных знаков.
Наблюдение, какой из двух счетов заставил нарушенных разрешенных исследователей высказывать хорошее предположение о том, как веб-сайты хранят пароли. Если и легкие и трудные пароли были взломаны, веб-сайт, вероятно, просто хранит пароли в открытом тексте вопреки как правило сопровождаемой наиболее успешной практике.
Если только счет, используя легкий пароль был нарушен, места, вероятно, использовали более сложный метод для хранения пароля: алгоритм, который превращает пароли в случайный ряд данных – со случайной информацией, добавленной к тем последовательностям.У программистов было несколько советов для интернет-пользователей: не снова используйте пароли; используйте менеджер паролей; и спросите себя, сколько Вы действительно должны раскрыть онлайн.«Веб-сайты просят большую информацию», сказал Сноерен. «Почему они должны знать реальную девичью фамилию Вашей матери и имя Вашей собаки?»DeBlasio был менее оптимистичен, что эти меры предосторожности будут работать.
«Правда вопроса – то, что Ваша информация собирается выйти; и Вы не собираетесь знать, что это вышло», сказал он.Snoeren и коллеги не планируют преследовать дальнейшее исследование Растяжки.
«Мы надеемся оказать влияние через компании, беря его и использование его сами», сказал он. «Любой крупный почтовый поставщик может предоставить эту услугу».