Поиск по сайту:

Как проверить, не являются ли электронные письма сотрудников утечкой данных

Есть ли учетные данные ваших сотрудников для входа в даркнет? Мы покажем вам, как проверить, не были ли их данные обнаружены в результате утечки данных.

Наш старый друг, пароль

Скромный пароль по-прежнему является наиболее распространенным методом аутентификации для получения доступа к компьютеру или учетной записи в Интернете. Существуют и другие системы, которые будут продолжать появляться и развиваться, но сейчас пароль используется повсеместно.

Пароль - детище шестидесятых. При разработке совместимой системы разделения времени (CTSS) ученые-компьютерщики поняли, что файлы, принадлежащие каждому пользователю, необходимо изолировать и защитить. Пользователь должен иметь возможность просматривать и изменять свои собственные файлы, но ему не должно быть разрешено просматривать файлы, принадлежащие кому-то другому.

Решение означало, что пользователи должны были быть идентифицированы. Им нужно имя пользователя. И чтобы доказать, что пользователь был тем, за кого себя выдавал, был придуман пароль. Заслуга изобретения пароля принадлежит Фернандо Х. Корбато.

Проблема с паролями заключается в том, что любой, кто знает ваш пароль, может получить доступ к вашей учетной записи. Это как дать им запасной ключ от своего дома. Двухфакторная аутентификация (2FA) улучшает эту ситуацию. Он сочетает в себе то, что вы знаете (ваш пароль), и то, что у вас владеет (обычно это ваш смартфон). Когда вы вводите свой пароль в систему с 2FA, на ваш смартфон отправляется код. Вам также нужно ввести этот код в компьютер. Но двухфакторная аутентификация не заменяет пароль, а дополняет модель безопасности стандартного пароля.

В некоторых системах также внедряются биометрические данные. Это объединяет уникальный биологический идентификатор, которым вы являетесь, в смесь, например отпечаток пальца или распознавание лица. Это выходит за рамки двухфакторной аутентификации и переходит к многофакторной аутентификации. Эти новейшие технологии не будут проникать в большинство компьютерных систем и онлайн-сервисов еще много десятилетий и, вероятно, никогда не появятся в некоторых системах. Пароль будет с нами надолго.

Утечки данных

Утечки данных происходят постоянно. Данные этих взломов в конечном итоге попадают в даркнет, где продаются другим киберпреступникам. Его можно использовать в мошеннических электронных письмах, фишинговых электронных письмах, различных видах мошенничества и кражи личных данных, а также для доступа к другим системам. Атаки с заполнением учетных данных используют автоматизированное программное обеспечение для попытки входа в системы. Эти базы данных электронной почты и паролей обеспечивают боеприпасы для этих атак.

У людей есть плохая привычка повторно использовать пароли. Вместо того, чтобы иметь уникальный надежный пароль для каждой системы, они часто повторно используют один и тот же пароль снова и снова в нескольких системах.

Достаточно взломать один из этих сайтов, чтобы все остальные сайты оказались под угрозой. Злоумышленники не узнают ваш пароль к взломанному сайту, который вы измените, как только узнаете, что взлом произошел, — они могут использовать этот адрес электронной почты и пароль для доступа к другим вашим учетным записям.

10 миллиардов взломанных аккаунтов

Веб-сайт Have I Been Pwned собирает наборы данных обо всех возможных утечках данных. Вы можете выполнить поиск по всем этим комбинированным данным и посмотреть, был ли ваш адрес электронной почты раскрыт в результате взлома. Если это так, Have I Been Pwned сообщает вам, с какого сайта или службы были получены данные. Затем вы можете перейти на этот сайт и изменить свой пароль или закрыть свою учетную запись. И если вы использовали пароль, который вы использовали на этом сайте, на любых других сайтах, вам нужно пойти и изменить его и на других сайтах.

В настоящее время в базе данных Have I Been Pwned содержится более 10 миллиардов записей данных. Каковы шансы, что там есть один или несколько ваших адресов электронной почты? Возможно, лучше было бы спросить, какова вероятность того, что вашего адреса электронной почты нет?

Поиск адреса электронной почты

Проверить легко. Перейдите на веб-сайт Have I Been Pwned и введите свой адрес электронной почты в поле Адрес электронной почты и нажмите кнопку Pwned? кнопка.

Я ввел старый адрес электронной почты и обнаружил, что он был включен в шесть утечек данных.

  • LinkedIn. В 2016 году в LinkedIn была уязвимость, когда были раскрыты 164 миллиона адресов электронной почты и паролей. Все мои пароли уникальны, поэтому мне пришлось изменить только один пароль.
  • Verifications.io. Verifications.io является или была службой проверки адресов электронной почты. Люди вводили адреса электронной почты, чтобы узнать, являются ли они действующими адресами электронной почты. Я никогда ими не пользовался, поэтому, очевидно, кто-то другой ввел мой адрес электронной почты, чтобы проверить его. Конечно, пароль не использовался, поэтому мне не нужно было предпринимать никаких мер безопасности, кроме как следить за спамом и фишинговыми сообщениями.
  • Возможность обогащения данных с помощью PDL: People Data Labs (PDL) зарабатывают деньги, собирая и продавая данные. Я запросил копию своих данных у PDL, и, судя по ее внешнему виду, я предполагаю, что они получают ее путем очистки и перекрестных ссылок LinkedIn, Twitter, бизнес-сайтов и других источников. Опять же, пароли не использовались, поэтому мне не нужно было предпринимать никаких мер безопасности. Но я отказался от их «услуги», чтобы они больше не могли продавать мои данные.
  • Онлайн-спамбот. Спам-бот под названием Online Spambot содержал мой адрес электронной почты, вероятно, полученный в результате одного из других взломов. Но затем был взломан и сам Onliner Spambot, что привело к утечке 711 миллионов личных записей, включая некоторые пароли.
  • Коллекция №1 и Комбинированный антиобщественный список. Последние два представляли собой массивные коллекции ранее взломанных данных, объединенных в мегапакеты для удобства киберпреступников. Таким образом, мои личные данные были в этих нарушениях, но я уже отреагировал на первоначальные нарушения и устранил их.

Важные моменты, на которые стоит обратить внимание:

  • Ваши данные могут содержаться в бреши для сайтов, которые вы никогда не посещали.
  • Даже если утечка данных не содержит паролей, ваши личные данные могут быть использованы в преступных целях, таких как спам, мошеннические электронные письма, фишинговые электронные письма, кража личных данных и мошенничество.

Поиск домена

Каким бы информативным и полезным это ни было, ввод адресов электронной почты для всех ваших сотрудников займет много времени. Ответ Have I Been Pwned на этот вопрос – функция поиска по домену. Вы можете зарегистрировать свой домен и получить отчет, охватывающий все адреса электронной почты в этом домене, которые были обнаружены в нарушениях.

И если какие-либо адреса электронной почты в вашем домене появятся в будущих нарушениях, вы будете уведомлены. Это круто.

Конечно, вы должны подтвердить право собственности на домен. Есть разные способы добиться этого. Ты можешь:

  • Подтвердить по электронной почте на адрес security@ , hostmaster@ , postmaster@ или webmaster@ в вашем домене. .
  • Добавьте метатег, содержащий уникальный идентификатор, на главную страницу вашего веб-сайта.
  • Загрузите в корень вашего веб-сайта файл, содержащий уникальный идентификатор.
  • Создайте запись TXT в домене, содержащую уникальный идентификатор.

Это отличный бесплатный сервис, который стоит нескольких минут, потраченных на регистрацию.

Поиск несвязанных писем

Но что, если вам нужно проверить разрозненную коллекцию электронных писем, разбросанных по разным доменам? У вас могут быть адреса электронной почты для gmail.com и других доменов, право собственности на которые вы, очевидно, не сможете подтвердить.

Вот сценарий оболочки Linux, который принимает текстовый файл в качестве параметра командной строки. Текстовый файл должен содержать адреса электронной почты, по одному в строке. Сценарий выполняет поиск электронной почты Have I Been Pwned для каждого адреса электронной почты в текстовом файле.

Сценарий использует аутентифицированный API. Вам понадобится ключ API. Для получения ключа необходимо зарегистрироваться и оплатить услугу. Трой Хант написал подробный пост в блоге на тему взимания платы за использование API. Он совершенно откровенно объясняет, почему он был вынужден взимать плату, чтобы бороться со злоупотреблением API. Стоимость составляет 3,50 доллара США в месяц, что меньше, чем кофе в уличной торговой точке. Вы можете оплатить за один месяц, или вы можете подписаться на год.

Вот и весь сценарий.

#!/bin/bash

if [[ $# -ne 1 ]]; then
  echo "Usage:" $0 "file-containing-email-addresses"
  exit 1
fi

for email in $(cat $1)
do
  echo $email

  curl -s -A "CloudSavvyIT" 
  -H "hibp-api-key:your-API-key-goes-here" 
  https://haveibeenpwned.com/api/v3/breachedaccount/$email?truncateResponse=false 
  | jq -j '.[] | " ", .Title, " [", .Name, "] ", .BreachDate, "n"'

  echo "---"
  sleep 1.6
done

exit 0

Прежде чем мы объясним, как работает скрипт, вы могли заметить, что он использует curl и jq. Если они не установлены на вашем компьютере, вам необходимо их добавить.

В Ubuntu команды такие:

sudo apt-get install curl
sudo apt-get install jq

В Fedora вам нужно ввести:

sudo dnf install curl
sudo dnf install jq

В Manjaro вы будете использовать pacman:

sudo pacman -Syu curl
sudo pacman -Syu jq

Как работает скрипт

Переменная $# содержит количество параметров командной строки, которые были переданы сценарию. Если это не равно единице, отображается сообщение об использовании и сценарий завершает работу. Переменная $0 содержит имя скрипта.

if [[ $# -ne 1 ]]; then 

  echo "Usage:" $0 "file-containing-email-addresses" 

  exit 1

fi

Сценарий считывает адреса электронной почты из текстового файла с помощью cat и устанавливает $email для хранения имени адреса электронной почты, который обрабатывается в данный момент.

for email in $(cat $1) 
do
  echo $email

Команда curl используется для доступа к API и получения результата. Варианты, которые мы используем с ним:

  • s: Молчит.
  • A: Строка User-Agent. Не все HTTP API должны его получать, но рекомендуется включать его. Вы можете указать здесь название своей компании.
  • H: Дополнительный заголовок HTTP. Мы используем дополнительный заголовок HTTP для передачи ключа API. Замените your-API-key-goes-here вашим фактическим ключом API.

Команда curl отправляет запрос на URL-адрес API взломанной учетной записи Have I Been Pwned. Ответ передается в jq.

jq извлекает заголовок ( .Title ) нарушения, внутренний идентификатор ( .Name ) нарушения и дату нарушения ( .BreachDate ) из безымянного массива ( .[] ), содержащего информацию JSON.

  curl -s -A "CloudSavvyIT" 
  -H "hibp-api-key:your-API-key-goes-here" 
  https://haveibeenpwned.com/api/v3/breachedaccount/$email?truncateResponse=false 
  | jq -j '.[] | "  ", .Title, " [", .Name, "] ", .BreachDate, "n"' 

  echo "---" 
  sleep 1.6 
done

exit 0

Перед заголовком нарушения отображается пара пробелов для отступа вывода. Это упрощает различение адресов электронной почты и имен нарушений. Скобки были помещены по обе стороны от элемента данных .Name , чтобы упростить визуальный анализ. Это простые косметические средства, которые можно изменить или удалить в соответствии с вашими потребностями.

Для разделения данных по каждому адресу электронной почты отображаются три черточки, а между проверками добавляется пауза в 1,6 секунды. Это необходимо, чтобы избежать слишком частых бомбардировок API и временной блокировки.

Есть 15 элементов данных, которые вы можете выбрать для отображения. Полный список показан на страницах API веб-сайта.

Запуск скрипта

Скопируйте весь скрипт в редактор, замените your-API-key-goes-here на свой ключ API, а затем сохраните его как «pwnchk.sh». Чтобы сделать его исполняемым, запустите эту команду:

chmod +x pwnchk.sh

У нас есть текстовый файл с именем «email-list.txt». он содержит следующие адреса электронной почты:

  • president@whitehouse.gov
  • vice.president@whitehouse.gov
  • privateoffice@no10.x.gsi.gov.uk

Это президент и вице-президент Соединенных Штатов, а также личный кабинет премьер-министра Соединенного Королевства. Все они являются общедоступными адресами электронной почты, поэтому мы не нарушаем никаких протоколов конфиденциальности или безопасности, используя их здесь. Для удобства мы передаем вывод в less. Вы можете так же легко перенаправить вывод в файл.

./pwnchk.sh email-list.txt | less

В первой строке упоминается «2844 отдельных нарушения данных».

Так называется набор взломанных данных, состоящий из 2844 более мелких нарушений. Это не означает, что адрес электронной почты был в таком количестве взломов.

Прокрутите вывод, и вы увидите, что эти адреса электронной почты были обнаружены во множестве взломов, начиная с взлома Myspace в 2008 году.

Заключительное слово о паролях

Вы также можете искать пароли на сайте Have I was Pwned. Если совпадение найдено, это не обязательно означает, что пароль для утечки данных принадлежит вам. Вероятно, это означает, что ваш пароль не уникален.

Чем слабее ваш пароль, тем меньше вероятность, что он будет уникальным. Например, любимый пароль ленивого пользователя 123456 имел 23,5 миллиона совпадений. Вот почему поиск по электронной почте является лучшим вариантом.

Всегда используйте надежные уникальные пароли. Используйте менеджер паролей, если вам нужно запомнить слишком много паролей. Там, где предлагается 2FA, используйте его.

Представленный нами скрипт поможет вам проверить разрозненный список адресов электронной почты. Это сэкономит вам кучу времени, особенно если это то, что вы собираетесь запускать периодически.