Теги → аутентификация
Быстрый переход

Microsoft: 150 млн человек используют решения компании для аутентификации без пароля

Компания Microsoft объявила о том, что её решения для аутентификации без пароля используют 150 млн человек, тогда как в ноябре прошлого года этот показатель был равен 100 млн. Эта цифра охватывает пользователей онлайн-сервисов Microsoft, в том числе Azure, GitHub, Office и Xbox.

Общая аудитория формируется из пользователей Windows Hello (распознавание отпечатков пальцев или лица), официального приложения Microsoft Authenticator и ключей безопасности на основе FIDO2, которые позволяют входить в разные учётные записи без паролей.

Одна из текущих задач Microsoft заключается в том, чтобы подтолкнуть пользователей к работе с инструментами многофакторной аутентификации и с технологиями аутентификации без пароля. Компания ссылается на улучшенные функции безопасности таких средств по сравнению с обычными паролями. В прошлом году Microsoft заявила о том, что с помощью многофакторной аутентификации блокируется около 99,9 % атак, в ходе которых злоумышленники пытаются захватить контроль над учётными записями. Также было сказано о том, что атаки, в ходе которых удалось обойти многофакторную аутентификацию, настолько редки, что у компании даже нет статистики касательно данного вопроса.

В Microsoft считают, что технологии аутентификации без пароля не только повышают уровень безопасности, но также способны принести экономическую выгоду за счёт снижения трат на поддержку пользователей. Когда пользователь авторизуется в учётных записях без пароля, он не может забыть свой пароль, для сброса которого требуется обращаться в поддержку. Согласно имеющимся данным, многие сотрудники Microsoft уже перешли на использование средств аутентификации без пароля.

ФСТЭК России сертифицировала средства криптографической защиты «Рутокен» по требованиям доверия

Российский производитель программно-аппаратных средств информационной безопасности «Актив» сообщил о завершении дополнительных испытаний смарт-карт «Рутокен» на соответствие требованиям доверия Федеральной службы по техническому и экспортному контролю.

Напомним, с 1 июня 2019 года вступили в силу новые требования по безопасности ФСТЭК России, устанавливающие уровни доверия к средствам защиты информации. Устройства «Рутокен» успешно прошли данную проверку по четвёртому уровню доверия.

Смарт-карты «Рутокен» могут использоваться для строгой двухфакторной аутентификации в различных IT-системах (в том числе в виртуальной инфраструктуре), криптографической защиты информации и для электронной подписи (ЭП). Устройства поддерживают новые российские алгоритмы ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 с длиной ключа 256 и 512 бит, а также схемы выработки сессионного ключа (RFC 7836).

Выданный ведомством сертификат допускает использование средств криптографической защиты «Рутокен» в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищённости, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищённости, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищённости персональных данных, а также в информационных системах общего пользования 2 класса, обрабатывающих сведения ограниченного доступа, в том числе персональные данные, служебную, коммерческую и иные виды конфиденциальной информации.

Инженеры Cisco научились взламывать смартфоны и ПК с помощью 3D-моделей отпечатков пальцев

С момента появления биометрической аутентификации методом сканирования отпечатков пальцев не утихают споры о надёжности предложения. Инженеры компании Cisco решили поставить если не точку в этом споре, то хотя бы обозначить более-менее чёткие границы уязвимости подобной защиты.

Сотрудники подразделения Talos компании Cisco Systems провели многомесячные исследования возможных технологий изготовления копий или муляжей пальцев с рисунком отпечатков пальцев, а также изучили наиболее простые способы получения данных об отпечатках пальцев потенциальных жертв.

Так, рисунок папиллярных линий на подушечках пальцев может быть получен тремя способами: прямым отпечатком с пальцев жертвы, находящейся в невменяемом состоянии, с помощью снятия отпечатка с предметов, например, со стеклянной посуды в общественных местах, а также с помощью отпечатков, полученных из ведомственных баз данных, к примеру, утечек с таможни.

Эксперименты показали, что наилучший результат по взлому защиты дают муляжи, изготовленные на основе прямых слепков. Снятые отпечатки с предметов, особенно со стеклянной посуды, оказываются не намного хуже для последующего взлома аутентификации, чем прямой слепок. Базы данных с отпечатками граждан, что интересно, оказались наименее надёжным источником данных для изготовления 3D-моделей пальцев. Этому помешало сравнительно низкое качество изображений отпечатков, хранящихся в базах.

Оранжевым цветом на графике показан взлом с помощью слепка, а синим - с помощью отпечатка, снятого со стеклаекле

Оранжевым цветом на графике показан взлом с помощью слепка, а синим — с помощью отпечатка, снятого со стекла

Муляж подушечки пальца с рисунком папиллярных линий изготавливался из эластичного материала, в качестве которого лучшими были признаны клеи на основе силикона и для склейки текстиля. Форму для изготовления муляжа напечатали на обычном 3D-принтере с разрешением не хуже 50 микрон. Жёсткая форма, как вы понимаете, не годится для имитации подушечки пальца. Чтобы емкостная система аутентификации реагировала на муляжи, в клей добавляли токопроводящий алюминиевый порошок или графит. Кроме оптической и емкостной, проверялись также ультразвуковые датчики. Кстати, самым сложным в подборе муляжей для взлома оказалось подобрать размер отпечатка. Но это лишь увеличивает число попыток, что не принципиально.

В результате экспериментов выяснилось, что разработанная инженерами методика в среднем помогает взломать дактилоскопическую защиту примерно в 80 % случаев. Но паниковать не нужно. При утере или краже телефона взломать устройство можно только тогда, когда владельца устройства возьмут в серьёзный оборот. В противном случае вряд ли кто-то будет охотиться за отпечатками человека, чтобы получить доступ к ворованному устройству.

Самыми стойкими к взлому с помощью муляжей пальцев оказались устройства HP Pavilion x360, Samsung A70 и Lenovo Yoga. Ни один из опробованных инженерами Cisco методов не позволил обойти систему аутентификации. Зато взломать Samsung Galaxy S10 и Apple iPhone 8 удалось в 80 % случаев (попыток). Ноутбук MacbookPro и вовсе открылся в 95 % случаев.

Учётные записи на смартфонах Samsung теперь требуют двухуровневой аутентификации

Samsung давно добавила возможность включения двухуровневой аутентификации (2FA) в приложение Samsung Account. Но после того, как учётные записи многих знаменитостей в Южной Корее были взломаны, и вслед за недавним инцидентом с утечкой данных, связанного с уведомлениями Find My Mobile, Samsung решила сделать 2FA обязательной с помощью своего последнего обновления приложения учётной записи Samsung Account.

Новым или существующим владельцам учётных записей Samsung, которые будут входить в систему, потребуется аутентифицироваться, введя свой номер телефона для получения кода. Это произойдёт независимо от того, включена ли в существующей учётной записи 2FA или нет — теперь это просто обязательно.

Как ни странно, пользователям, которые вошли в свои учётные записи (думается, таковых большинство), не предлагается пройти повторную аутентификацию после обновления. Конечно, их учётные записи будут по-прежнему в безопасности, если кто-то попытается войти в систему, используя чужие учётные данные: они столкнутся с обязательным экраном 2FA.

Тем не менее, многие пользователи, вероятно, не будут знать об этом изменении, пока не выйдут из системы и не войдут снова по собственному желанию. Стоит отметить, что обновление ещё доступно не всем пользователям. И в отличие от большинства других приложений Samsung, которые можно проверить на наличие обновлений вручную, Samsung Account этого не поддерживает — пользователям в некоторых регионах придётся подождать какое-то время.

Банковский троян Cerberus научился красть коды, генерируемые Google Authenticator при двухфакторной аутентификации

Специалисты компании ThreatFabric, работающей в сфере кибербезопасности мобильных устройств, сообщают о том, что новая версия банковского Android-трояна Cerberus может похищать одноразовые пароли, генерируемые приложением Google Authenticator.

«Используя злоупотребления привилегиями доступа, троян теперь может украсть генерируемые пароли из приложения Google Authenticator. Когда приложение запущено, троян может получить доступ к содержимому интерфейса для последующей его отправки на сторонний сервер. Мы считаем, что этот вариант Cerberus всё ещё находится на этапе тестирования, но его конечный вариант может быть создан в ближайшее время», — говорится в сообщении ThreatFabric.   

Приложение Google Authenticator является популярным средством защиты учётных записей с помощью двухфакторной аутентификации, поэтому новая версия вредоносной программы может представлять угрозу для большого количества пользователей устройств на базе Android. Запущенное в 2010 году приложение генерирует уникальные одноразовые пароли длиной от шести до восьми символов, с помощью которых пользователи проходят авторизацию в разных онлайн-аккаунтах.

Google запустила приложение Authenticator в качестве альтернативы одноразовым паролям на основе SMS-сообщений. Поскольку одноразовые пароли генерируются на пользовательском смартфоне и не передаются через незащищённые мобильные сети, учётные записи от онлайн-аккаунтов, в которых пользователи авторизуются с помощью решения Google, считаются более защищёнными по сравнению с теми, где процесс аутентификации проходит с помощью SMS-сообщений.

Apple предлагает стандартизировать SMS для двухфакторной авторизации

Инженеры компании Apple выдвинули предложение стандартизировать формат SMS-сообщений, содержащих одноразовые пароли, которые присылаются пользователям в процессе входа в систему с двухфакторной аутентификацией.

С таким предложением выступили инженеры Apple, работающие над движком WebKit, который является главным компонентом браузера Safari. Отмечается, что в результате стандартизации удастся представить способ, которым OTP (one-time-password) SMS-сообщения могут быть связаны с URL-адресом. Предполагается, что URL-адрес для прохождения авторизации будет добавляться непосредственно в SMS-сообщение. Кроме того, стандартизация позволит мобильным браузерам и приложениям обнаруживать входящие SMS-сообщения, осуществлять распознавание домена в них, извлекать одноразовый пароль и завершать процесс авторизации без участия пользователя.

Благодаря этому процесс получения и ввода одноразового пароля удастся автоматизировать, а значит существенно снизится вероятность того, что пользователь попадётся на уловки мошенников и введёт одноразовый пароль из SMS-сообщения на фишинговом сайте.

Предложенный стандарт позволит приложениям и браузерам автоматически извлекать одноразовый пароль и осуществлять вход в систему с двухфакторной аутентификацией. В случае несоответствия или сбоя операции автоматического заполнения пользователю будет демонстрироваться фактический URL-адрес сайта, благодаря чему он сможет сравнить его с легитимным адресом ресурса, на котором он пытается авторизоваться. В случае несовпадения адресов, пользователь будет предупреждён о том, что он, вероятно, пытается авторизоваться на фишинговом сайте.

В настоящее время специалисты Apple (WebKit) и Google (Chromium) уже работают над реализацией нового стандарта, а представители Mozilla не делали официальных заявлений касательно данного предложения. Вероятно, что после завершения разработки многие сервисы, предоставляющие услуги отправки SMS-сообщений с одноразовыми паролями, перейдут на использование нового стандарта.

iPhone теперь может использоваться в качестве электронного ключа безопасности для приложений Google

В прошлом году Google объявила о том, что все устройства, работающие под управлением Android 7 и более поздних версий, могут использоваться в качестве электронного ключа для двухфакторной аутентификации в сервисах Gmail, Drive и др. Теперь же стало известно о том, что многие современные iPhone также могут выступать в качестве электронного ключа безопасности для авторизации в приложениях Google.

Многие люди привыкли к тому, что двухфакторная аутентификация представляет собой коды, присылаемые в СМС-сообщениях разными сервисами и приложениями при попытке авторизации. Однако это может быть небезопасно, и специалисты всё чаще рекомендуют использовать безопасные альтернативы, такие как физические ключи безопасности, подключаемые к пользовательским устройствам. Новое решение использует смартфон для прохождения аутентификации при авторизации в разных приложениях.

На этой неделе было обновлено приложение Google Smart Lock для устройств на базе iOS. В новой версии решения пользователи смогут самостоятельно настраивать встроенный электронный ключ на устройстве. Согласно имеющимся данным, приложение использует Secure Enclave, который есть в чипах Apple A-серии и применяется для хранения Touch ID, Face ID и других зашифрованных данных. Каждый раз, когда пользователь вводит логин и пароль от своей учётной записи Google, ему будет предложено зайти в приложение Smart Lock на iPhone, чтобы пройти аутентификацию.

Кроме того, обновлённая версия Smart Lock имеет переработанный дизайн, упрощающий процесс взаимодействия с решением. Скачать новую версию приложения Smart Lock для программной платформы iOS можно в официальном магазине цифрового контента App Store.

Китайских хакеров поймали на обходе двухфакторной авторизации

Китайских хакеров поймали на обходе двухфакторной авторизации, но это не точно. Ниже будут изложены предположения голландской компании Fox-IT, которая специализируется на консалтинговых услугах по кибербезопасности. Предполагается, чему нет прямых доказательств, что на китайские правительственные структуры работает группа хакеров, получившая имя APT20.

Fox-IT

Fox-IT

Впервые хакерскую деятельность, приписываемую группе APT20, обнаружили в 2011 году. В 2016–2017 годах группа исчезла из поля зрения специалистов, и лишь недавно Fox-IT обнаружила следы вмешательства APT20 в сети одного из своих клиентов, который попросил расследовать нарушения в кибербезопасности.

По мнению Fox-IT, в течение последних двух лет группа APT20 занималась взломом и доступом к данным государственных структур, крупных компаний и поставщиков услуг в США, Франции, Германии, Италии, Мексики, Португалии, Испании, Великобритании и Бразилии. Также хакеры из APT20 были активны в таких областях, как авиация, здравоохранение, финансы, страхование, энергетика и даже в таких сферах, как азартные игры и электронные замки.

Обычно хакеры из APT20 для входа в системы жертв использовали уязвимости в веб-серверах и, в частности, в платформе корпоративных приложений Jboss. После доступа и установки оболочек хакеры проникали по сетям жертв во все возможные системы. Найденные учётные записи позволяли злоумышленникам красть данные с помощью стандартных инструментов, без установки зловредов. Но главная неприятность заключается в том, что группа APT20 якобы смогла обойти двухфакторную авторизацию с помощью токенов.

Исследователи утверждают, что нашли следы того, что хакеры подключились к учетным записям VPN, защищенным двухфакторной авторизацией. Как это произошло, специалисты Fox-IT могут только строить предположения. Наиболее вероятное из них, что хакеры смогли украсть из взломанной системы программный токен RSA SecurID. С помощью украденной программы в дальнейшем хакеры могли генерировать одноразовые коды для обхода двухфакторной защиты.

В обычных условиях это сделать невозможно. Программный токен не работает без подключения к локальной системе аппаратного токена. Без него программа RSA SecurID выдаёт ошибку. Программный токен создается для конкретной системы и, имея доступ к «железу» жертвы, можно получить специфическое число для запуска программного токена.

Специалисты Fox-IT утверждают, что для запуска (украденного) программного токена вовсе не нужно иметь доступ к компьютеру и аппаратному токену жертвы. Весь комплекс начальной проверки проходит только при импорте начального вектора генерации ― случайного 128-битного числа, соответствующего конкретному токену (SecurID Token Seed). Это число не имеет отношения к начальному числу, которое затем относится к генерации фактического программного токена. Если проверку SecurID Token Seed можно каким-то образом пропустить (пропатчить), то ничто в дальнейшем не помешает генерировать коды для двухфакторной авторизации. В компании Fox-IT заявляют, что обход проверки можно обеспечить изменением всего в одной инструкции. После этого система жертвы будет полностью и легально открыта злоумышленнику без использования специальных утилит и оболочек.

Mozilla требует от разработчиков расширений Firefox обязательной двухфакторной аутентификации

Mozilla объявила, что все разработчики расширений для Firefox должны включить двухфакторную аутентификацию (2FA) для своих учётных записей. «С начала 2020 года разработчикам дополнений нужно включить 2FA в AMO (addons.mozilla.org), — отметил Кейтлин Нейман (Caitlin Neiman), менеджер сообщества расширений Mozilla, в официальном блоге. — Это сделано для того, чтобы злоумышленники не могли контролировать официальные расширения и их пользователей».

Когда это происходит, хакеры могут использовать учётную запись разработчика для отправки обновлений взломанного расширения пользователям Firefox. Злоумышленники также могут использовать расширения для кражи паролей, файлов идентификации cookie, отслеживания привычек пользователей при просмотре или для перенаправления пользователей на фишинговые страницы для загрузки вредоносных программ и многое другое.

Эти типы атак конечные пользователи не могут определить, не понимая, является ли обновление расширения вредоносным, особенно если заражённое обновление поступает от официального Mozilla AMO, источника, который все пользователи Firefox считают безопасным.

Двухфакторная идентификация (2FA) добавляет ещё один шаг в процессе входа в систему, чтобы подтвердить подлинную личность пользователя. Это может добавить дополнительный уровень безопасности. В последние годы не было случаев взлома учётных записей AMO, нацеленных на расширения Firefox. Тем не менее, было много подобных случаев с расширениями Chrome, разработчики которых сталкивались с потоком фишинговых писем. Хакеры обычно пытаются получить доступ к учётным записям Chrome Web Store.

Это связано с тем, что браузеры Chrome занимают 65–70 % рынка. Доля в 10 %, которая принадлежит Firefox, делает атаки менее привлекательными для злоумышленников. Однако Mozilla хочет предпринять упреждающие действия. Компания рекомендует следовать инструкциям на support.mozilla.org, чтобы включить двухфакторную идентификацию (2FA) для своей учётной записи, прежде чем новые правила вступят в силу.

Смартфон на Android может использоваться в качестве защитного ключа для двухфакторной аутентификации

Разработчики из Google представили новый способ двухфакторной аутентификации, который подразумевает использование смартфона на базе Android в качестве физического ключа безопасности.

Многим уже приходилось сталкиваться с двухфакторной аутентификацией, которая предполагает не только введение стандартного пароля, но и использование какого-то второго инструмента прохождения проверки подлинности личности. К примеру, некоторые сервисы после ввода пользовательского пароля отправляют SMS-сообщение, в котором указывается сгенерированный код, позволяющий пройти авторизацию. Существует и альтернативный метод реализации двухфакторной аутентификации, когда используется физический аппаратный ключ вроде YubiKey, для активации которого необходимо подключить его к ПК.  

Разработчики из Google предлагают использовать в качестве такого аппаратного ключа пользовательский Android-смартфон. Вместо того, чтобы отправлять на устройство уведомление, веб-сайт попытается получить доступ к смартфону через Bluetooth. Примечательно, что для использования данного метода не требуется физически подключать смартфон к компьютеру, поскольку радиус действия Bluetooth достаточно велик. При этом крайне мала вероятность того, что злоумышленнику удастся получить доступ к смартфону, находясь при этом в зоне действия соединения Bluetooth.  

На данный момент новый способ прохождения аутентификации поддерживают только некоторые сервисы Google, в том числе Gmail и G-Suite. Для корректной работы необходим смартфон, работающий под управлением Android 7.0 Nougat или более поздней версии.

Reddit: двухфакторная аутентификация Epic Games Store ненадёжна

Технология двухфакторной аутентификации (2FA) используется множеством веб-сайтов, от Gmail до небольших интернет-магазинов. Однако даже эта система не является совершенной — примером тому стала ситуация с Epic Games Store.

polygon.com

polygon.com

На Reddit пользователь под псевдонимом u/Naouak рассказал, что у системы двухфакторной аутентификации в магазине игр есть проблемы. Суть в том, что он пытался авторизоваться в магазине с помощью 2FA с двух разных браузеров. При этом на почту приходит один и тот же код авторизации. После этого пользователь попытался запросить код ещё трижды и все три раза получил одинаковый токен, хотя и завершал сессию принудительно.

Таким образом, по мнению u/Naouak, в системе есть брешь: если злоумышленник имеет доступ к электронной почте жертвы, то он получит доступ и к кодам, которые, как указано выше, не меняются. То же справедливо, если злоумышленник получил доступ к браузеру.

При этом было отмечено, что код действителен на протяжении 30 минут. По мнению автора поста, это слишком долго, поскольку даёт возможность хакеру воспользоваться этой брешью и авторизоваться на сайте под видом пользователя.

reddit.com

reddit.com

Другие пользователи в теме рассказали, что у Epic Games было уже немало проблем с безопасностью. Пользователь chkdg8 заявил, что почти год получает сообщения от компании о взломе аккаунта. Причём он просил удалить учётную запись, добавлял письма в спам, но эффекта это не принесло.

Другой пользователь под псевдонимом TakeshiKovacs46 отметил, что на днях попытался создать аккаунт в Epic Games Store, однако система выдала сообщение, что такая электронная почта уже используется. Были и другие жалобы: полностью тред доступен по ссылке.

В Epic Games пока не комментируют ситуацию. Остаётся надеяться, что брешь будет закрыта в ближайшее время.

Firefox 66 получит поддержку Windows Hello

Следующее крупное обновление браузера Mozilla Firefox получит, кроме прочего, новую функцию для устройств Windows 10 — поддержку Windows Hello. Эта система аутентификации использует биометрические данные вроде отпечатков пальцев или технологии распознавания лиц. Microsoft запустила эту возможность несколько лет назад, однако многие разработчики программного обеспечения до сих пор не воспользовались ей. Эта технология работает как со встроенными, так и с подключаемыми сканерами отпечатков, камерами и так далее. Предполагается, что всё это будет поддерживаться и в Firefox.

softpedia.com

softpedia.com

Со своей стороны, Microsoft предоставила разработчикам необходимые API и инструменты для интеграции Windows Hello в свои приложения, что позволяет упростить идентификацию пользователей, а также усложнить взлом учётных записей. На данный момент технология поддерживается в кроссплатформенном менеджере паролей Enpass. Также она есть в фирменном браузере Microsoft Edge, потому решение Mozilla вполне оправдано.

Как ожидается, после настройки Windows Hello в Windows 10, браузер позволит пользователям входить на сайты, требующие пароли, используя сканер отпечатка пальца или же распознавание лица. Эти данные будут задействованы в качестве мастер-пароля, к которому уже «привяжутся» обычные пароли на сайтах.

Само собой разумеется, эта опция будет доступна только в версии Firefox для Windows 10 и потребует специального оборудования, поддерживающего Windows Hello. Впрочем, подобные меры безопасности могут быть излишними для обычных пользователей.

Версия Firefox 66, как ожидается, выйдет в релиз 19 марта. Приложение уже находится в стадии бета-тестирования.

Fujitsu дополнит бесконтактный метод оплаты распознаванием лица

Японская компания Fujitsu продолжает искать оптимальные решения для бесконтактного обслуживания покупателей. В сентябре, напомним, вместе с компанией AEON в сети одноимённых магазинов введена оплата с помощью идентификации пользователей по определению рисунка вен. При всей новизне решения у неё имеется один недостаток — покупатель должен набрать год своего рождения, чтобы упростить поиск по удалённой базе данных. Вместо этого в будущих системах бесконтактной оплаты без кошельков и ID-карт разработчики Fujitsu предложили комбинированный метод с определением рисунка вен вкупе со сканированием лица.

Fujitsu

Fujitsu

При оплате покупки на терминале покупатель располагает ладонь над сканером рисунка вен и смотрит в камеру. Из базы до одного миллиона занесённых в неё лиц извлекается образ предположительного владельца сканируемой ладони. Данные сравниваются с получаемым с камеры изображением, после чего система по двум отдельным параметрам (рисунок вен и лицо) выносит вердикт о подлинности или несоответствии персонажа.

Подобный подход позволяет исключить ошибочное срабатывание системы и закрыть глаза на огрехи сканирования. Иначе говоря, данное решение значительно ускоряет безошибочную идентификацию пользователя. Упрощение системы распознавания позволило разработчикам сократить вычислительную нагрузку на локальное оборудование до одной десятой от требуемой ранее мощности.

Пример терминала с приёмом оплаты по рисунку вен (Fujitsu)

Пример терминала с приёмом оплаты по рисунку вен (Fujitsu)

Необходимость в подобных бесконтактных системах идентификации без привлечения ID-карт и системы паролей вызвана опасениями утери или утечек персональных данных. Покупатель идёт в магазин без каких-либо удостоверяющих банковских документов и не боится забыть номера карточек и пин-кодов. Для совершения покупки ничего не нужно (кроме денег на банковском счёте). Достаточно выбрать товар и показать на кассе ладонь и посмотреть в камеру. В Японии подобные системы аутентификации покупателей компания Fujitsu рассчитывает начать внедрять примерно через два года.

Сотни пользователей Instagram пожаловались на взлом аккаунтов

Множество людей в этом месяце сообщили о взломе аккаунтов в Instagram, причём многие атаки были практически идентичны друг другу. Пользователей выбрасывало из учётных записей, а когда они пытались войти обратно, то обнаруживали, что их имя, фотография профиля, контактная информация и описание изменены.

Зачастую злоумышленники меняли картинку профиля на персонажа мультфильмов Disney или Pixar, а аккаунт привязывался к почте с русским доменом верхнего уровня. На некоторых учётных записях хакерам даже удалось отключить двухфакторную авторизацию.

mashable.com

mashable.com

Ряд пользователей сообщили о взломе сайту Mashable, хотя гораздо больше жалоб было зарегистрировано на Reddit и в Twitter. Примечательно, что хакеры не добавляли на взломанные аккаунты новые публикации и не удаляли старые.

Несмотря на то, что в справочном центре Instagram есть страничка о взломе аккаунтов, она, согласно источникам Mashable, оказалось бесполезной. «Вся эта мешанина, которую Instagram отправляет вам, чтобы вы могли вернуть свой аккаунт, вызывает смех и представляет собой набор нерабочих ссылок и автоматических писем, которые ничего не дают», — написала одна из жертв злоумышленников Абигейл Новак (Abigail Nowak). Ещё один пользователь заявил, что ему удалось восстановить учётную запись, но с огромным трудом.

mashable.com

mashable.com

«Когда мы узнаём, что аккаунт был взломан, мы закрываем к нему доступ и предлагаем владельцу пройти процесс восстановления, чтобы он мог сбросить пароль и предпринять другие необходимые меры по защите аккаунта», — заявил представитель Instagram сайту CNET.

Хакер получил доступ к данным старых пользователей Reddit

Reddit уведомил, что некий хакер взломал ряд систем сайта и получил доступ к данным пользователей. В список вошли текущие электронные адреса, а также база данных за 2007 год с зашифрованными логинами и паролями.

Сайт разослал письма пострадавшим пользователям — по большей части тем, кто зарегистрировался в 2007 году или раньше. Злоумышленник также получил доступ к почтовым рассылкам за июнь 2018 года, поэтому мог узнать электронные адреса соответствующих пользователей и то, на какие каналы они были подписаны.

Компания посоветовала тем, кто с 2007 года не менял пароль или менял его незначительно, установить другой пароль на Reddit и других сайтах. Также сервис порекомендовал включить двухфакторную авторизацию через приложения вроде Authy или Google Authenticator, поскольку хакер взломал системы посредством перехвата SMS-сообщений. «Мы выяснили, что SMS-авторизация не так безопасна, как мы надеялись», — написала компания.

С 14 по 18 июня злоумышленник похитил аккаунты нескольких сотрудников Reddit через облачного провайдера. Он получил возможность просмотреть резервные данные, исходный код и другие записи в журналах работников компании, но внести в них какие-либо изменения не смог.

К 19 июня Reddit обнаружил атаку и начал рассчитывать размер ущерба, а также усиливать меры безопасности. Компания связалась с правоохранительными органами и помогает им в расследовании.

Хакер смог просмотреть личные и публичные сообщения, опубликованные с 2005 года, когда сервис только появился на свет, по 2007 год. Один из пользователей отметил, что взломщик может вычислить логин человека по его почте, поэтому посоветовал удалить из профиля все публикации, которые могут быть использованы со злым умыслом.

window-new
Soft
Hard
Тренды 🔥