Les outils de vérification de compte de courrier électronique piratés sont-ils authentiques ou constituent-ils une arnaque?
Après l'annonce d'une vaste violation des serveurs de Google ayant entraîné le piratage de 5 millions d'adresses e-mail, différents sites Web ont suggéré aux lecteurs de vérifier s'ils avaient été victimes en entrant leurs adresses e-mail dans “outils de vérification” - sites Web pouvant déterminer si une adresse électronique figure dans une liste d'informations d'identification piratées.
Le problème est que certains de ces outils de vérification n'étaient pas aussi légitimes que les sites Web les reliant auraient pu l'espérer…
5 millions d'adresses e-mail: la vérité
Signalé à l'époque comme une fuite massive de 5 millions de noms d'utilisateur et de mots de passe pour un compte Gmail, il est vite apparu que l'histoire était, enfin, juste cela: une histoire.
En expliquant cela un peu plus tard, Google a révélé que moins de 2% des combinaisons nom d'utilisateur / mot de passe étaient exactes et que leurs propres outils de sécurité de connexion auraient capturé la majorité de ceux-ci..
Ils ont également précisé que les informations d'identification n'étaient pas piratées à partir de leurs propres serveurs, mais à partir d'autres sites Web:
Il est important de noter que dans ce cas et dans d'autres, les noms d'utilisateur et les mots de passe divulgués ne résultaient pas d'une violation des systèmes de Google. Souvent, ces informations d'identification sont obtenues en combinant d'autres sources.
Par exemple, si vous réutilisez les mêmes nom d'utilisateur et mot de passe sur plusieurs sites Web et que l'un de ces sites est piraté, vos informations d'identification peuvent être utilisées pour vous connecter aux autres..
Ainsi, un compte Gmail détecté lors d'une violation précédente - de grande envergure ou non - aurait pu être l'un de ceux qui figurent dans le vidage des données des informations d'identification stockées entre les mains du destinataire. “les hackers”. En gros, des informations qui étaient peut-être déjà en ligne sous une forme ou une autre, des comptes Gmail cribbed de plusieurs sources.
Mais comment cette histoire a-t-elle été intégrée si rapidement? Probablement avec l'aide d'un grand nombre rond, comme 5 millions de dollars, et du tirage intelligent des pirates informatiques qui ont posté les mots de passe du compte sur un forum russe Bitcoin. Ajoutez un outil de vérification en ligne qui confirme si votre propre compte de messagerie est dans le dump, et vous avez une grande nouvelle.
Bien sûr, il semble probable que isleaked.com n'est pas le site Web les gens pensaient qu'il était.
Comment fonctionne un faux vérificateur de compte de courrier électronique piraté
Vérification d'une adresse électronique par rapport à une base de données (SQL, Access ou même un fichier texte) Qu'est-ce qu'une base de données? [MakeUseOf explique] Alors qu'est-ce qu'une base de données? [MakeUseOf explique] Pour un programmeur ou un passionné de technologie , le concept de base de données est quelque chose qui peut vraiment être pris pour acquis. Cependant, pour beaucoup de gens, le concept de base de données elle-même est un peu étranger… Lire la suite) des comptes de messagerie piratés est relativement simple. Combiné avec un script facile à télécharger, un tel site Web pourrait être configuré en 30 minutes environ..
Troy Hunt, quant à lui, a une bien meilleure approche, c'est pourquoi vous devriez utiliser son site pour vérifier la fuite de vos identifiants lorsque vous lisez ou entendez parler d'un compte pirater.
Comme expliqué sur son blog, Hunt a créé Have I Been Iwww??, Un site Web légitime (Hunt est un MVP de Microsoft pour la sécurité des développeurs) conçu pour que les utilisateurs moyens puissent saisir leur adresse e-mail et savoir s'ils ont été piratés ou non. En utilisant des données soumises à des sites tels que Pastebin.com, il vous indique même quelle violation est responsable de la présence de votre compte de messagerie dans sa base de données..
Recherche d'un compte de courriel piraté légitime?
Lorsque les résultats sont affichés, le site affiche le nom du site Web à partir duquel les informations de votre compte ont été divulguées. Espérons que ce site vous aurait envoyé un e-mail ou fait une annonce.
(Bien sûr, si vous craignez que votre compte de messagerie ait été piraté, vous devez quand même modifier votre mot de passe. N'oubliez pas de le rendre sûr et mémorable. 6 Conseils pour créer un mot de passe indestructible dont vous vous souviendrez 6 Conseils pour créer un mot de passe indestructible que vous Souvenez-vous Si vos mots de passe ne sont pas uniques et incassables, vous pouvez aussi bien ouvrir la porte d'entrée et inviter les voleurs à déjeuner.
Comme vous pouvez le voir sur l'image ci-dessus, mon compte de messagerie est l'un des nombreux contenus dans la violation massive de Adobe en 2013. Vous devez utiliser les informations fournies par le site Web de Hunt pour agir immédiatement, mais sachez que même si votre mot de passe a été modifié, votre adresse email restera sur le site.
Si cela est pratique, il pourrait également être utile de modifier l'adresse e-mail que vous utilisez avec vos comptes en ligne..
La diligence raisonnable ne doit pas appartenir au passé
Un élément essentiel du journalisme est la diligence raisonnable. la vérification des faits. Il ne suffit pas de régurgiter des communiqués de presse. Tout écrivain, qu’il produise du contenu pour 1 dollar par 1 000 mots ou qu’il soit salarié à un nom de premier plan en édition peut le faire..
Malheureusement, sur le World Wide Web, cela n'arrive pas assez.
Quelques minutes de vérification des faits auraient montré que les 5 millions d’adresses prétendent être une fabrication. Comme nous l'avions signalé à l'époque, les adresses avaient été extraites d'une collection de fuites précédentes, Leak Online des mots de passe Gmail, Microsoft Windows Phone Drops, et plus encore… [Tech News Digest] Les mots de passe Gmail Leak Online, Microsoft Windows Drops, etc. Tech News Digest] Des critiques négatives, Deezer aux États-Unis, Google Pyramids, la NES 3DS et une machine éclairante de Rube Goldberg. Lire la suite . Les pirates russes ont pu rassembler une liste plutôt que de violer la sécurité de Google.
Le site recommandé par de nombreux sites Web pour consulter les e-mails était particulièrement suspect., isleaked.com. Curieusement enregistré à peine deux jours avant la fuite, en Russie, son existence soudaine était soit extrêmement fortuite, soit planifiée.
Comme je le dis toujours, il n'y a pas de hasard dans la sécurité en ligne.
Après tout, quel meilleur moyen de confirmer la liste d'adresses que vous prétendez avoir piratée que de demander aux titulaires de comptes de vérifier s'ils les utilisent encore ou non? C'est le mode opératoire des spammeurs - les adresses mortes ne valent rien, c'est pourquoi de nombreux spams vous demandent de répondre. Votre réponse est enregistrée et l'adresse conservée.
Le vérificateur d'email de fuite isleaked.com pourrait facilement être une approche plus sophistiquée. Alors qu'ils prétendent:
Nous ne recueillons pas vos courriels, adresses URL / IP, journaux d'accès ni résultats de contrôle. Soit nous ne faisons rien de mal avec votre appareil pendant le test!
… Il y a peu de raisons de faire confiance au site. Troy Hunt, qui a une réputation à défendre, explique comment son site fonctionne, il est donc logique de l'utiliser.
Le verdict: ne pas réagir sans les faits
Ce que nous pouvons en apprendre, c’est que personne ne devrait agir en cas de plainte pour violation de données ou piratage informatique sans posséder tous les faits. Il y a tout simplement trop de variables à prendre en compte.
Avec les allégations de piratage de Gmail, il semble raisonnable de penser que les présumés pirates vérifient simplement leur collection d'adresses, probablement utilisées dans diverses campagnes de spam..
Certains étaient authentiques, d'autres ont expiré depuis longtemps.
Le meilleur site web pour vérifier si votre email a été piraté et trouvé son chemin sur un site comme Pastebin.com est haveibeenpwned.com.
Ironiquement, en ce qui concerne les 5 millions d’adresses Gmail supposément piratées de Google, c’est la presse spécialisée qui a été véritablement sollicitée..
Rob Hyrons via Shutterstock
En savoir plus sur: sécurité en ligne, atteinte à la sécurité.