This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

هاك بوتيك الموقع عناية بالطفل - وليس فقط اللاعبين الكبار في خطر

Filed Under: Data loss, Featured, Privacy

أصبح من المألوف أن نفترض أن جميع cybercriminality هذه الأيام هو عن المال.

وبعبارة أخرى، الهجمات التي من غير المحتمل أن يكون أي شيء يستحق وليس من المرجح.

كما انها المألوف أن نفترض أن المهاجمين بشكل متزايد وحصرا بعد الأهداف غنية ومثمرة، مثل الشركات متعددة الجنسيات والحكومات.

وبعبارة أخرى، إذا كنت الرجل قليلا، وكنت بعيدا عن الرادار ويمكن البقاء آمنة على الإنترنت ببساطة عن طريق الحفاظ على رأسك لأسفل.

بالتأكيد، تكسير في النظم فقط للمتعة من ذلك - على الضاحكة - كانت شعبية لفترة وجيزة قبل عامين، وذلك بفضل بصورة مناسبة المسماة طاقم Lulzsec ، ولكن مجموعة من الاعتقالات بدت لوضع المدفوعة للكل ذلك.

ولكن لم يكن تلك الاعتقالات قضاء على تكسير من أجل ذلك. لا يزال هناك الكثير من لا مبرر له "، لأنه هناك" كسر الرقمية وإدخال يجري.

حتى لو قمت بتشغيل موقع على شبكة الانترنت صغيرة وليس لدينا الكثير لتخفيه، أنت (والزبائن) مع ذلك في خطر من المجرمين، مثل JokerCracker @ apppositely اسمه، الذي يعطي عقله لعلنا القرصنة و، "انها مجرد شخصية التحدي ".

أعلنت JokerCracker عدد من الإختراق ويكشف على مدى الأيام القليلة الماضية.

وهذا حيث كان يحفر حولها على موقع الويب الخاص بك لالثقوب، وذلك باستخدام الأدوات الآلية ربما للعثور على ما كنت تقوم بتشغيل البرنامج، وماذا يمكن أن تستغل نقاط الضعف أنه أكثر سهولة.

بمجرد ان يعرف وسيلة خداع من المرجح خادم الويب إلى إلقاء احد أو أكثر من قواعد البيانات الخاصة به، بدلا من الرد ببساطة واحدة من الاستفسارات الخاصة بك ترتيبها مسبقا، وانه سوف استخراج ما في وسعه، وتحميل أي شيء يشبه معلومات شخصية (PII ) إلى موقع الهبوط العام، حيث يمكن سرقة البيانات مختلسوا النظر الاستيلاء عليها كما تشاء.

والخطوة الأخيرة هي سقسقة لندع العالم يعرف.

ومن الأمثلة المحزنة في مطلع الاسبوع الإختراق له لموقع البوتيك عناية بالطفل الأسترالي. الذي أدلى به فقط مع السجلات نحو 900، ربما لأن هذا هو قاعدة البيانات التي جمعتها كلها مالك الموقع.

(سربت البريد، اسم الشاشة وكلمات السر. الاسم الكامل، اسم طفلك وعيد ميلاد، طلب الاشتراك في، لم تظهر في تفريغ، وهذا رحمة الصغيرة، وأفترض.)

كلمات السر، وكما كنت قد خمنت بالفعل، وليس تجزئته أو تحجب على الإطلاق. تم تخزين كل ما في النص العادي.

  • إذا كنت من مستخدمي موقع على شبكة الإنترنت أن يحصل اختراق بهذه الطريقة، وكنت تشارك كلمة السر مع أي مواقع أخرى، وتغيير كلمات السر تلك فورا، ووقف إعادة استخدام كلمات السر.
  • إذا كنت صاحب موقع على شبكة الانترنت أن يحصل اختراق بهذه الطريقة، والنظر في نشر تحذير على الصفحة الرئيسية الخاصة بك وتنبيه المستخدمين.
  • إذا كنت المشغل من أي نوع من موقع على شبكة الإنترنت أو عبر الإنترنت الملكية مماثلة، لا الحفاظ على كلمات السر الغير مشفرة.
  • إذا كنت تعتقد أن موقع وتخزين كلمات السر الغير مشفرة، والنظر في الانسحاب منها حتى يتوقف ذلك.

لاحظ أن النقطة الأخيرة يعني أنه يمكنك بسهولة معرفة ما إذا كان الموقع هو يفعل الشيء الصحيح مع كلمات السر الخاصة بك.

لحسن الحظ، العديد من المواقع نشر، أو سوف اقول لكم إذا كنت تسأل، وكيف تعامل مع تخزين كلمة المرور وإعادة تعيين.

ولكن البعض الآخر لا، وكثيرا ما لأنهم يعرفون أن لديهم أنباء سيئة، أو لا يدركون أهمية حتى هذا السؤال.

في هذه الحالة، قد تكون قادرة على معرفة ذلك ببساطة عن طريق محاولة إعادة تعيين كلمة المرور.

إذا كنت تحصل على العودة وصلة إعادة تعيين كلمة المرور، التي ربما لم تخزين كلمة المرور في نص عادي. ولكن إذا كنت تحصل على كلمة المرور القديمة مرة أخرى في رسالة بريد إلكتروني، فمن الواضح يجب أن يكون قد موقع تخزينه.

عناية بالطفل وتقديم المشورة، لما يستحق، الزوجي على سلوكها غير آمنة لأن لا يستخدم HTTPS خلال المرحلة دخول والخمسين؛ والأسوأ من ذلك أنه لا يستخدم حتى HTTP "التحدي والاستجابة" التحقق من كلمة مرور، والذي يمنع ما لا يقل عن كلمة السر الخاصة بك سوف غير مشفرة بها. كلمة السر الخاصة بك هناك، في واضحة وينتظر ان يتم مشموم.

مستخدمي الموقع على شبكة الإنترنت، أن نكون يقظين. إذا كنت تعتقد أن الموقع لا علاج PII الخاص بك مع الاحترام الذي يستحقه، حتى لما يسمى مرات تسجيل الدخول أو عارضة بخس، ثم النظر في العمل، التسوق أو اللعب في مكان آخر.

مشغلي موقع على شبكة الإنترنت، لا تكون سعيدا مع المعايير الأمنية للخمسة، عشرة أو حتى قبل عامين. تبين أن يهمك PII ويساعد على بناء والحفاظ على ثقة العملاء.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog