[ad_1]

La semaine dernière, LifeLock et plusieurs autres sociétés de protection contre le vol d’identité ont alerté par erreur leurs clients d’une brèche chez le géant du stockage en nuage Dropbox.com – un incident qui aurait révélé quelque 73 millions de noms d’utilisateur et de mots de passe. Le seul problème avec cette notification était que Dropbox n’avait pas de violation ; les données semblent plutôt provenir d’une autre brèche révélée cette semaine sur le réseau social Tumblr.

L’article d’aujourd’hui examine certains des faux pas qui ont précédé ce « oups » embarrassant et potentiellement dommageable pour la marque. Nous explorerons également les limites de la collecte automatisée de renseignements sur les menaces à une époque où méga-brèches comme ceux révélés la semaine dernière qui ont révélé plus d’un demi-milliard de noms d’utilisateur et de mots de passe volés sur Tumblr, Mon espace et LinkedIn.

Les informations d’identification divulguées en relation avec les violations de ces sites de réseaux sociaux ont été volées il y a des années, mais l’ampleur des intrusions n’est devenue claire que récemment – ​​lorsque plusieurs énormes archives d’adresses e-mail et de mots de passe hachés de chaque service ont été publiées sur le dark web et sur sites de partage de fichiers.

La semaine dernière, un lecteur m’a renvoyé à un message d’un type nommé Andrew sur le forum d’aide de dropbox.com. Andrew a déclaré qu’il venait de recevoir des alertes diffusées par deux sociétés de surveillance du crédit différentes indiquant que ses informations d’identification de boîte de dépôt avaient été compromises et avaient été trouvées en ligne (voir capture d’écran ci-dessous).

Un utilisateur du forum dropbox se plaint de recevoir des alertes d'entreprises distinctes avertissant d'une énorme violation de mot de passe sur dropbox.com.

Un utilisateur du forum dropbox se plaint de recevoir des alertes d’entreprises distinctes avertissant d’une énorme violation de mot de passe sur dropbox.com.

Voici ce que LifeLock a envoyé le 23 mai 2016 à de nombreux clients qui paient pour les services de récupération d’informations d’identification de l’entreprise :

Date d’alerte : 23-05-2016
Type d’alerte : Surveillance
Catégorie d’alerte : Site Internet du marché noir
**Le membre a reçu un e-mail d’alerte du réseau de partage de fichiers : *****
Mot de passe: ****************************************
Où vos données ont été trouvées : réseaux sociaux
Type de compromis : violation
Secteur bafoué : commerce
Site piraté : www.dropbox.com
Nombre d’enregistrements violés : 73361477
État du mot de passe : haché
Gravité : rouge|email,mot de passe
Site : www.dropbox.com

LifeLock a déclaré avoir obtenu les données d’alerte via un accord de partage d’informations avec un service tiers de renseignement sur les menaces, mais il a refusé de nommer le service qui a envoyé la fausse alerte positive.

« Nous pouvons confirmer que nous avons récemment informé un petit segment de membres de LifeLock qu’une version de leurs informations d’identification dropbox.com a été détectée sur Internet », a déclaré LifeLock dans une déclaration écrite fournie à BreachTrace. « Lorsque nous sommes informés de ce type d’informations par un partenaire, il s’agit généralement d’une « liste » qui est donnée, échangée ou vendue sur le dark web. La sûreté et la sécurité des données de nos membres sont notre priorité absolue. Nous continuons à surveiller toute activité au sein de notre réseau source. Pour le moment, nous recommandons à ces membres LifeLock de modifier leur(s) mot(s) de passe Dropbox par mesure de précaution.

Dropbox dit qu’il n’y a pas eu de violation, et si c’était le cas, l’entreprise verrait d’énormes quantités d’activités de vérification de compte et d’autres bizarreries en cours en ce moment. Et cela ne se produit tout simplement pas, disent-ils.

« Nous avons appris que LifeLock et MyIdCare.com signalent que les détails du compte Dropbox de certains de leurs clients sont potentiellement compromis », a déclaré Patrick HEIM, responsable de la confiance et de la sécurité chez Dropbox. « Une première enquête sur ces rapports n’a trouvé aucune preuve d’impact sur les comptes Dropbox. Nous continuons à chercher dans ce problème et informerons nos utilisateurs si nous trouvons des preuves que les comptes Dropbox ont été impactés.

FAUX POSITIFS?

Après quelques recherches, j’ai appris que la fausse attribution de la violation de Tumblr à Dropbox provenait de CSID, une société de surveillance d’identité qui est en train d’être acquise par le géant du bureau de crédit Experian.

Passionné par tout ce qui touche à la sécurité et aux faux positifs, j’ai téléphoné Bryan Hjelm, vice-président des produits et du marketing pour le CSID. Hjelm a contesté que j’aie classé cela comme une menace intel faux positif, car du point de vue du CSID, les clients individuels concernés ont en fait été alertés que leurs informations d’identification étaient compromises (mais pas leurs informations d’identification Dropbox).

« Notre mandat est d’alerter nos clients abonnés lorsque nous trouvons leurs informations sur le darkweb », a déclaré Hjelm. « Quelle que soit la source, ce sont des données compromises qui leur appartiennent. »

Hjelm a reconnu que le CSID « avait des problèmes de réputation » de la part de Dropbox et d’autres en raison de sa mauvaise attribution de violation, mais il a déclaré que l’incident était la première fois que ce type de snafu se produisait pour le CSID.

Je voulais savoir exactement comment cela avait pu arriver, alors j’ai demandé à Hjelm de décrire plus en détail ce qui s’était passé. Il m’a dit que le CSID s’appuie sur un certain nombre de sources en ligne qui ont été des indicateurs précis et précoces des violations passées. L’un de ces acteurs – une sorte de cyber taon plus connu sous son alias de hacker « w0rm » – avait donné raison dans des publications précédentes sur Twitter à propos de nouvelles violations de données, a déclaré Hjelm.

Dans ce cas, w0rm a publié sur Twitter un lien pour télécharger un fichier contenant ce qu’il prétendait être 100 millions d’enregistrements volés à Dropbox. Peut-être qu’un des premiers signes que quelque chose ne s’est pas bien passé est que le téléchargement auquel il était lié en tant que fichier utilisateur Dropbox ne comprenait en fait que 73 millions de noms d’utilisateur et de mots de passe.

Dans tous les cas, les analystes du CSID n’ont pas pu déterminer d’une manière ou d’une autre s’il s’agissait réellement des données de Dropbox. Néanmoins, ils l’ont quand même envoyé comme tel, sur la base d’un peu plus que les paroles de w0rm.

l'annonce de w0rm des informations d'identification de la boîte de dépôt réclamées.

l’annonce de w0rm des informations d’identification de la boîte de dépôt réclamées.

Hjelm a déclaré que ses analystes ne testaient jamais la validité des identifiants volés qu’ils récoltaient sur le dark web (c’est-à-dire qu’ils n’essayaient pas de se connecter en utilisant ces identifiants pour voir s’ils étaient valides). Mais il a déclaré que le CSID pourrait prendre des mesures telles que tenter de déchiffrer certains des mots de passe hachés pour voir si une prépondérance d’entre eux pointe vers un certain marchand en ligne ou réseau social.

Dans la violation de LinkedIn impliquant plus de 100 millions de noms d’utilisateur et de mots de passe volés, par exemple, les enquêteurs ont pu connecter à LinkedIn un corpus de mots de passe hachés publiés sur un formulaire de craquage de mots de passe, car un grand nombre d’utilisateurs de la liste de mots de passe hachés avaient un mot de passe avec une forme de « linkedin » dedans.

J’ai demandé au CSID si ses chercheurs avaient pris la mesure de base consistant à tenter d’enregistrer des comptes sur le service suspecté d’être violé en utilisant les adresses e-mail incluses dans le supposé vidage des données utilisateur. Comme je l’ai expliqué dans l’article Comment identifier les fuites de données à partir de cascades publicitaires, la plupart des services en ligne n’autorisent pas deux comptes d’utilisateurs différents à avoir la même adresse e-mail, donc tenter de créer un compte en utilisant une adresse e-mail dans les données de fuite revendiquées est un moyen efficace de tester les réclamations de fuite. Si un grand nombre d’adresses e-mail dans la liste de fuite revendiquée n’ont pas déjà de comptes associés sur le site Web prétendument piraté, la réclamation est presque certainement fausse.

Hjelm a déclaré que le CSID n’utilise pas actuellement cette technique plutôt manuelle, mais que l’entreprise est ouverte aux suggestions sur la façon d’améliorer la précision de l’attribution des victimes de violation. Il a déclaré que le CSID n’avait commencé à fournir des informations d’attribution qu’il y a environ un an, car les clients les réclamaient.

Allison Nixonchercheur en cybercriminalité et directeur de la recherche en sécurité dans une société de surveillance du dark web Point de rupture, a été la genèse de cette histoire susmentionnée sur les fuites de données par rapport aux cascades publicitaires. Elle a fait plus de recherches que quiconque que je connaisse à ce jour sur les moyens de déterminer rapidement si une violation alléguée est réelle et comment la trouver. Nixon a déclaré que l’automatisation des informations sur les menaces ne va pas si loin.

« En général, la compétence de scepticisme humain exercée aujourd’hui par les experts en renseignement sur les menaces est extrêmement difficile à automatiser », a déclaré Nixon. « Même avec les progrès des technologies d’intelligence cognitive et artificielle, les humains seront encore et toujours nécessaires pour valider les nuances associées à une intelligence précise. Les experts en sécurité doivent être intimement impliqués dans le processus de vérification des faits des renseignements sur les menaces, sinon ils courront le risque de perdre un temps précieux, des ressources et peut-être même plus, en validant de fausses informations perçues comme exactes par les technologies automatisées.

Flashpoint a trouvé un examen plus approfondi du fichier que w0rm a divulgué des cartes sur une brèche recyclée en 2013 sur Tumblr.

Il ne fait aucun doute que w0rm a l’habitude de partager de vrais dumps. Mais selon Flashpoint, cette réputation doit être prise avec un grain de sel car même si les dépotoirs sont réels, ils sont généralement accessibles au public mais sont décrits par w0rm comme une preuve de sa compétence en piratage.

En bref : la victime visée par des gars comme w0rm est probablement d’autres cybercriminels, mais les sociétés de renseignement sur les menaces peuvent également être prises dans ce cas.

De nombreux lecteurs m’ont demandé de donner mon avis sur les rapports de une possible brèche chez Teamviewer, un service qui permet aux utilisateurs de partager leur bureau, leur chat audio et d’autres applications avec des amis et des contacts en ligne. Teamviewer a jusqu’à présent nié avoir subi une brèche.

Je suppose qu’un grand nombre d’utilisateurs de Teamviewer ont soit réutilisé des mots de passe sur certains des services de réseaux sociaux dont les noms d’utilisateur et les mots de passe hachés ont été publiés en ligne cette semaine, soit ce sont des utilisateurs de Teamviewer qui ont malheureusement été pris dans le quotidien. rotation des systèmes compromis par d’autres logiciels malveillants. Dans tous les cas, il y a un long fil sur Reddit peuplé d’utilisateurs Teamviewer qui affirment pour la plupart qu’ils n’ont réutilisé leur mot de passe Teamviewer nulle part ailleurs.

Il est intéressant de noter que les premières versions des chevaux de Troie d’accès à distance comme Zeus contenaient un composant de type Teamviewer appelé « backconnect » qui permettait aux attaquants d’utiliser les systèmes de la même manière que Teamviewer permet à ses utilisateurs. De nos jours, cependant, les cybercriminels renoncent souvent à cette fonctionnalité de backconnect interne et s’appuient plutôt sur l’équipement de la victime avec un compte Teamviewer et/ou sur le détournement des informations d’identification du compte Teamviewer existant de la victime, puis sur l’exfiltration des informations d’identification volées et d’autres données via une installation Teamviewer. Par conséquent, un compromis de son compte Teamviewer peut indiquer que le système de la victime est déjà compromis par des logiciels malveillants sophistiqués basés sur Windows.

De son côté, Dropbox profite de cette opportunité pour inciter les utilisateurs à renforcer la sécurité de leurs comptes. Selon Patrick Heim de Dropbox, moins d’un pour cent de la base d’utilisateurs de Dropbox profite de la fonctionnalité d’authentification à deux facteurs de l’entreprisece qui rend beaucoup plus difficile pour les voleurs et autres vauriens d’utiliser des mots de passe volés.

« En matière de sécurité, nous suggérons toujours aux utilisateurs de faire preuve de beaucoup de prudence et de réinitialiser leurs mots de passe s’ils reçoivent une notification d’un compromis potentiel », a déclaré Heim. « Dropbox encourage fortement les utilisateurs à utiliser des mots de passe forts et uniques pour chaque service. Nous encourageons également les utilisateurs de Dropbox à activer l’authentification à deux facteurs pour protéger davantage leur compte.

J’espère qu’il va sans dire que la réutilisation de mots de passe sur plusieurs sites susceptibles de contenir des informations personnelles vous concernant est une très mauvaise idée. Si vous êtes coupable de cette pratique apparemment courante, veuillez changer cela. Si vous avez besoin d’inspiration sur ce front, consultez ce post.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *