This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Boutique corte site babycare - não apenas os grandes caras em risco

Filed Under: Data loss, Featured, Privacy

Tem se tornado moda assumir que todos cibercriminalidade estes dias é sobre dinheiro.

Em outras palavras, os ataques não são susceptíveis de ser vale nada não é provável.

É também na moda assumir que os agressores são cada vez mais alvos e exclusivamente após proveitosas e ricas, como as multinacionais e governos.

Em outras palavras, se você é um pequeno rapaz, você está fora do radar e pode ficar seguro on-line simplesmente por manter a cabeça abaixada.

Claro, rachaduras nos sistemas apenas para se divertir - o lulz - foi brevemente popular um par de anos atrás, graças ao pertinentemente chamado Lulzsec tripulação , mas um monte de prisões parecia colocar pago para tudo isso.

Mas essas prisões não acabar com rachaduras por causa disso. Há ainda muitas gratuita ", porque está lá" digital, quebra-e-entrar acontecendo.

Mesmo se você tem um site pequeno e não tem muito a esconder, você (e seus clientes) são, no entanto, o risco de criminosos, como o JokerCracker @ apppositely nomeado, que abertamente dá a sua razão de hacking como, "É apenas um pessoal Desafio ".

JokerCracker anunciou uma série de hack-and-revela ao longo dos últimos dias.

É aí que ele cava em volta em seu site para furos, provavelmente usando ferramentas automatizadas para encontrar o software que está sendo executado, e que vulnerabilidades que ele pode mais facilmente explorar.

Uma vez que ele conhece uma forma provável de enganar o seu servidor web para despejar um ou mais de seus bancos de dados, em vez de simplesmente responder a uma de suas consultas pré-arranjados, ele vai extrair o que ele pode, e fazer upload de qualquer coisa que se parece com informações de identificação pessoal (PII ) para um site de queda de público, onde os dados de roubo de voyeurs pode agarrá-lo à vontade.

O passo final é um tweet para que o mundo saiba.

Um triste exemplo no fim de semana era o seu corte de uma boutique local babycare australiano. Ele só fugiu com cerca de 900 registros, talvez porque essa é a base de dados total colhido pelo proprietário do site.

(Apenas e-mail nome de tela, e as senhas vazaram. Seu nome completo, nome de seu filho e de aniversário, solicitou o cadastro, não aparece no despejo. Essa é uma pequena misericórdia, suponho.)

As senhas, como você deve ter adivinhado já, não foram hash ou obscurecido em tudo. Eles foram todos armazenados em texto simples.

  • Se você é um usuário de um site que for cortada desta maneira, e você compartilhou sua senha com outros sites, altere as senhas imediatamente, e parar de re-utilizando senhas.
  • Se você é o proprietário de um site que for cortada desta forma, considerar a publicação de um aviso em sua página principal e alertando seus usuários.
  • Se você é o operador de qualquer tipo de site ou propriedade em linha similar, não manter senhas em texto puro.
  • Se você acha que um site é o armazenamento de senhas em texto puro, considere retirar a partir dele até que ele pare fazê-lo.

Note que o último ponto significa que você pode facilmente dizer se um site está fazendo a coisa certa com suas senhas.

Felizmente, muitos sites publicam, ou vai dizer se você perguntar, como eles lidam com armazenamento de senhas e reset.

Mas outros não, e muitas vezes isso é porque eles sabem que têm uma má notícia, ou nem sequer percebem a importância da questão.

Nesse caso, você pode ser capaz de descobrir simplesmente tentando uma redefinição de senha.

Se você voltar um link de redefinição de senha, eles provavelmente não foram armazenando a sua senha em texto simples. Mas se você começar a sua senha antiga de volta em um e-mail, então é claro que o site deve ter sido armazená-la.

Orientação Babycare, pelo que vale a pena, dobra-se sobre o seu comportamento inseguro porque não usa HTTPS durante a sua fase de login; pior ainda, nem sequer usam HTTP "desafio-resposta" verificação de senha, o que pelo menos evita que a senha vai fora sem criptografia. Sua senha é lá, em claro, esperando para ser desprezado.

Usuários do site, ser vigilante. Se você acha que um site não está tratando o seu PII com o respeito que merece, mesmo para os chamados logins casuais ou descartável, em seguida, considerar a trabalhar, fazer compras ou jogar em outro lugar.

Operadores do Web site, não ser feliz com as normas de segurança de dez, cinco ou até mesmo de dois anos atrás. Mostre que você se importa com PII e ajudar a construir e manter a confiança de seus clientes.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog