[ad_1]

2011 a été qualifiée d’année de la violation de données, des groupes de pirates publiant en ligne presque quotidiennement d’énormes quantités de données volées. Maintenant un nouveau site appelé pwnedlist.com permet aux utilisateurs de vérifier si leur adresse e-mail ou leur nom d’utilisateur et les informations associées peuvent avoir été compromis.

Pwnedlist.com est la création de Alen Puzic et Jasiel Spelmandeux chercheurs en sécurité de DVLabsune division de HP/point de basculement. Entrez un nom d’utilisateur ou une adresse e-mail dans la zone de recherche du site, et il vérifiera si l’information a été trouvée dans l’un de ces récents vidages de données publiques.

Puzic a déclaré que le projet découlait d’un effort pour récolter des monticules de données divulguées ou déposées quotidiennement sur des sites comme Pastebin et les traqueurs de torrent.

« J’essayais de récolter autant de données que possible, pour voir combien de mots de passe je pouvais éventuellement trouver, et il se trouve qu’en deux heures, j’ai trouvé environ 30 000 noms d’utilisateur et mots de passe », a déclaré Puzic. « Cela m’a fait penser que je pourrais le faire tous les jours, et si je pouvais en trouver plus d’un million, je pourrais peut-être créer un site qui aiderait l’utilisateur de tous les jours à trouver s’il était compromis. »

Pwnedlist.com permet actuellement aux utilisateurs de rechercher parmi près de cinq millions d’e-mails et de noms d’utilisateur qui ont été déversés en ligne. Le site reçoit également fréquemment de grands caches de données de compte que les gens soumettent directement à sa base de données. Puzic a déclaré qu’il augmentait à un rythme d’environ 40 000 nouveaux comptes compromis chaque semaine.

Puzic a déclaré que les informations contenues dans ces dons de données permettent souvent de savoir facilement quelle organisation a perdu les informations.

« Habituellement, quelque part dans les fichiers de vidage, il y a un fichier readme.txt ou il y a un type d’en-tête créé par le pirate qui a causé la violation, et il y a une publicité indiquant qui a fait le piratage et quelle entreprise a été compromise », a déclaré Puzic. « D’autres fois, c’est vraiment évident parce que tous les e-mails proviennent du même domaine. »

Puzic a déclaré que Pwnedlist.com ne stocke pas lui-même le nom d’utilisateur, l’adresse e-mail et le mot de passe ; à la place, il enregistre un hachage cryptographique des informations, puis supprime les données en clair. Par conséquent, un « hit » sur n’importe quel e-mail ou nom d’utilisateur recherché ne produit qu’une réponse binaire « oui » ou « non » indiquant si des hachages correspondant à ces données ont été trouvés. Il ne renverra pas le mot de passe associé et n’offre aucun indice sur l’endroit d’où les données ont été divulguées.

Tout site qui sensibilise aux avantages des mots de passe forts est une bonne chose dans mon livre. Mais décider de l’action à entreprendre – le cas échéant – après avoir trouvé un résultat sur votre adresse e-mail sur pwnedlist.com. J’ai cherché mon adresse e-mail, breachtrace[at] gmail.com, et le site m’a dit que mon adresse avait été trouvée dans la base de données le 1er juin 2011.

En réponse à la question « Et maintenant », pwnedlist.com propose les conseils suivants :

« Pas de panique ! Ce n’est pas parce que votre e-mail a été trouvé dans un vidage de compte que nous avons collecté qu’il a été compromis. Votre première réaction devrait être de changer immédiatement tous les mots de passe qui pourraient être associés à ce compte de messagerie. C’est probablement une bonne idée de parcourir tous vos comptes et de créer de nouveaux mots de passe pour chacun d’eux, juste au cas où. Une fois qu’un compte a été compromis, il est préférable de supposer que tous les autres l’ont été également. Mieux vaut prévenir que guérir.

Mon mot de passe de messagerie est ridiculement long et complexe, mais étant du type ultra paranoïaque, j’ai tendance à le changer fréquemment, et je l’ai fait plusieurs fois depuis qu’il a atterri dans cette base de données.

La longueur et la complexité sont deux des facteurs les plus importants pour déterminer un mot de passe fort. C’est aussi une bonne idée de changer périodiquement les mots de passe des comptes sensibles, à condition que vous disposiez d’un moyen décent de récupérer le mot de passe en cas d’oubli ou de perte. Consultez mon Password Primer pour une liste de conseils et de ressources pour vous aider à créer et à protéger des mots de passe forts.

Puzic a déclaré que bien que son site ne stocke pas le nom d’utilisateur ou l’adresse e-mail soumis au formulaire pwnedlist.com, pour des raisons de sécurité, il conserve un enregistrement des adresses Internet de ceux qui utilisent le site : Il semble que certains utilisateurs aient essayé d’empoisonner la base de données ou inclure des logiciels malveillants et des exploits dans les vidages de données soumis au site.

« Nous avons des tentatives environ toutes les deux semaines [to plant malware or hack the site], mais personne ne l’a encore fait », a-t-il déclaré. « Nous avons eu beaucoup de tentatives différentes. Quelqu’un essaie à peu près toutes les semaines.

Les deux chercheurs prévoient de commencer à publier des mises à jour régulières sur leur compte Twitter (@pwnedlist) lorsque de nouveaux vidages de données seront découverts. À plus long terme, Puzic a déclaré qu’il avait plusieurs objectifs pour le site, y compris une étude longitudinale sur la sécurité des mots de passe.

« J’adorerais que cela puisse sensibiliser à la cybersécurité », a-t-il déclaré. « En outre, cela pourrait servir de bon outil de mesure pour le nombre d’infractions qui se produisent chaque jour. Par exemple, si vous voyez que tout d’un coup j’ai huit millions d’entrées supplémentaires, quelque chose d’important s’est peut-être produit.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *