This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Boutique puericultura hackear sitio web - no sólo los peces gordos en situación de riesgo

Filed Under: Data loss, Featured, Privacy

Se ha puesto de moda suponer que todos cibercriminalidad en estos días es por el dinero.

En otras palabras, los ataques que no son susceptibles de ser digno de cualquier cosa no es probable.

Es también de moda suponer que los atacantes son cada vez más y exclusivamente después de las metas rica y fecunda, como las multinacionales y los gobiernos.

En otras palabras, si usted es un hombre pequeño, que está fuera del radar y puede permanecer seguro en línea con sólo mantener la cabeza hacia abajo.

Claro, grietas en los sistemas sólo por el gusto de hacerlo - el lulz - fue brevemente popular hace un par de años atrás, gracias al acierto con nombre de equipo Lulzsec , pero un puñado de arrestos parecía poner atención a todo eso.

Pero esos arrestos no acabar con grietas por el bien de ella. Todavía hay un montón de gratuito, "porque está ahí" digital romper-y-entrar pasando.

Incluso si usted tiene un sitio web pequeño y no tiene mucho que ocultar, usted (y sus clientes) son, sin embargo el riesgo de los delincuentes, como el llamado apppositely JokerCracker @, que abiertamente le da su razón de hacking como, "Es sólo un personal reto ".

JokerCracker ha anunciado una serie de hack-and-pone de manifiesto en los últimos días.

Ahí es donde él cava alrededor de su sitio web para los agujeros, probablemente usando herramientas automatizadas para encontrar el software que se está ejecutando, y las vulnerabilidades que se pueden explotar más fácilmente.

Una vez que se conoce una forma probable de engañar a su servidor web de dumping uno o más de sus bases de datos, en lugar de simplemente responder a una de tus preguntas preestablecidas, que va a extraer lo que puede, y cargar cualquier cosa que se parece a la información personalmente identificable (PII ) a un centro de recepción de público, donde los datos de hurto voyeurs pueda levantar a voluntad.

El paso final es un tweet para que el mundo sepa.

Un triste ejemplo el fin de semana fue su truco de un sitio con encanto australiano puericultura. Sólo se llevaron alrededor de 900 registros, tal vez porque esa es la base de datos completa recogida por el propietario del sitio.

(Sólo por correo electrónico, nombre de pantalla y contraseñas se filtraron. Su nombre completo, el nombre del niño y fecha de nacimiento, pidió al firmar, no apareció en el vertedero. Esa es una pequeña misericordia, supongo.)

Las contraseñas, como habrás adivinado ya, no se aplica un algoritmo hash u oscurecido del todo. Se almacenaron todo en texto plano.

  • Si usted es un usuario de un sitio web que está pirateada esta manera, y usted comparte su contraseña con otros sitios, cambiar las contraseñas de inmediato y detener la reutilización de contraseñas.
  • Si usted es el propietario de un sitio web que está pirateada esta manera, considerar la publicación de un aviso en su página principal y alertar a sus usuarios.
  • Si usted es el operador de cualquier tipo de sitio web o propiedad similar en línea, no guardan las contraseñas en texto plano.
  • Si crees que un sitio es el almacenamiento de contraseñas en texto plano, considere retirarse de él hasta que se detenga para hacerlo.

Tenga en cuenta que el último punto implica que usted puede decir fácilmente si un sitio está haciendo lo correcto con sus contraseñas.

Afortunadamente, muchos sitios publicar, o le dirá si usted pregunta, cómo hacer frente a almacenamiento de contraseñas y reset.

Pero otros no, y muchas veces eso es porque ellos saben que tienen una mala noticia, o no se dan cuenta de la importancia de la cuestión.

En ese caso, usted puede ser capaz de averiguar simplemente por tratar de restablecer la contraseña.

Si vuelves un enlace de restablecimiento de contraseña, probablemente no han estado almacenando la contraseña en texto plano. Pero si tienes la contraseña antigua en un correo electrónico, entonces es claro que el sitio debe haber estado almacenando.

Consejos de asistencia para los niños, por si sirve de algo, se duplica en su comportamiento inseguro porque no utiliza HTTPS durante su fase de inicio de sesión, peor aún, ni siquiera utiliza HTTP "desafío-respuesta" verificación de la contraseña, que al menos evita que su contraseña va a cabo sin cifrar. Su contraseña está allí, en el claro, a la espera de ser inhalados.

Usuarios del sitio web, y velad. Si crees que un sitio no está tratando a su PII con el respeto que se merece, incluso para las llamadas conexiones casuales o de usar y tirar, y luego considerar trabajar, ir de compras o jugar en otro lugar.

Operadores de sitios web, no seas feliz con los estándares de seguridad de diez, cinco o incluso hace dos años. Demuestre que usted se preocupa por PII y ayudar a construir y mantener la confianza de sus clientes.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog