This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Игры на свежем воздухе Boutique взломать сайт - это не просто большие парни риску

Filed Under: Data loss, Featured, Privacy

Это стало модным считать, что все киберпреступностью в эти дни о деньгах.

Иными словами, атаки, которые, вероятно, не стоит ничего, вряд ли.

Это также модно предположить, что злоумышленники все чаще и исключительно после того, как богатая и плодотворная цели, такие как транснациональные корпорации и правительства.

Другими словами, если вы маленький парень, ты с радаров и может оставаться в безопасности в Интернете просто, сохраняя вашу голову.

Конечно, трещин в системах просто для удовольствия - лулзов - был на короткое время популярны несколько лет назад, благодаря кстати названием экипажа LulzSec , но куча арестов , казалось, положило конец всем этим.

Но эти аресты не искоренить трещин ради этого. Там еще много безвозмездных ", потому что она есть" цифровая ломать и вводить происходит.

Даже если вы работаете в крошечном сайт и не так много, чтобы скрыть, вы (и ваши клиенты), тем не менее риск от преступников, как apppositely с именем @ JokerCracker, который открыто дает свои причины для взлома, как: "Это просто личные вызов ".

JokerCracker объявила о ряде хак-и-показывает, в течение последних нескольких дней.

Вот где он копает вокруг на ваш сайт на наличие отверстий, возможно, с использованием автоматизированных инструментов, чтобы найти то, что программное обеспечение вы используете, и какие уязвимости он может наиболее легко эксплуатировать.

Как только он знает, вероятный способ обмана веб-сервер на захоронение одного или нескольких из своих баз данных, а не просто отвечая на один из ваших заранее подготовленных запросов, он будет извлечь то, что он может, и загрузить все, что выглядит как личную информацию (PII ) в общественном месте падения, где данные от кражи вуайеристов может захватить его на волю.

Последним шагом является твит, чтобы весь мир знал.

Печальным примером в минувшие выходные было его рубить бутик-сайт австралийского Игры на свежем воздухе. Он только закончил с около 900 записей, возможно, потому что вся база данных собрана владельца сайта.

(Только электронная почта, экранное имя и пароль просочились. Ваше полное имя, фамилию и имя ребенка и день рождения, просьба о регистрации, не появляются в свалку. Вот небольшой милости, я полагаю.)

Пароли, как вы уже догадались, не хэшированного или закрывались вообще. Все они хранятся в текстовом формате.

  • Если вы являетесь пользователем сайта, получает взломали этот путь, и вы поделились пароль с любых других сайтов, изменить эти пароли немедленно, и остановить повторное использование паролей.
  • Если Вы владелец сайта, который получает взломали таким образом, рассмотреть возможность публикации предупреждение на главной странице и оповещения пользователей.
  • Если вы оператор какой-либо веб-сайт или аналогичных интернет имущества, не держите открытым текстом пароли.
  • Если вы думаете сайта хранение паролей открытым текстом, рассмотреть вопрос о снятии с него до упора этом.

Отметим, что последний пункт подразумевает, что вы можете легко определить, является ли сайт делает правильные вещи с вашими паролями.

К счастью, многие сайты публиковать, или скажет вам, если вы спросите, как они справляются с хранением паролей и сброс.

Но другие не будут, и часто это потому, что они знают, что есть плохие новости, и даже не понимают важности вопроса.

В этом случае, Вы можете быть в состоянии выяснить, просто пытается сбросить пароль.

Если вы вернетесь ссылка для сброса пароля, они, вероятно, не храните пароль в незашифрованном виде. Но если вы получите ваш старый пароль обратно в электронную почту, то ясно, что сайт должен был хранить его.

Консультации уход за ребенком, для чего это стоит, удваивает вверх на его небезопасным поведением, потому что не использует HTTPS во время входа в фазу; что еще хуже, он даже не использует HTTP "вызов-ответ" проверка пароля, который по крайней мере предотвращает пароль собираюсь из незашифрованном виде. Ваш пароль является там, в ясный, ожидая, чтобы быть перехвачены.

Пользователям веб-сайта, будьте бдительны. Если вы думаете, сайт не лечения вашего PII с уважением, которого она заслуживает, даже для так называемых случайных или одноразовый вход, а затем рассмотреть работу, по магазинам или играете в другом месте.

Операторы веб-сайте, не доволен стандартами безопасности из десяти, пяти или даже два года назад. Покажите, что вы заботитесь о PII и помогают создавать и поддерживать доверие клиентов.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog