This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

精品育婴网站的黑客 - 不只是大家伙的风险

Filed Under: Data loss, Featured, Privacy

它已经成为时尚的假设,是关于钱所有cybercriminality这些天。

换句话说,可能是不值什么钱的攻击,这是不太可能的。

这也是时髦的假设,攻击者越来越多地和片面追求丰富和富有成果的目标,如跨国公司和各国政府。

换句话说,如果你是一个小家伙,你的雷达,可以保持安全的网上简单地通过保持你的头。

当然,系统,它只是为了好玩- LULZ -裂解成是短暂流行的一对夫妇几年前,感谢的appositely Lulzsec船员 ,但,一个逮捕一堆似乎要支付所有这一切。

但这些逮捕行动没有杜绝开裂的缘故吧。仍然有大量的无偿的,“因为它的存在,”数字化的突破和输入回事。

即使您运行一个很小的网站,并没有太多的隐藏,你(和你的客户),但在危险的犯罪分子,如apppositely命名的@ JokerCracker,公开给他的原因,以防止黑客作为,“这只是一个个人挑战。“

JokerCracker已经宣布一些下锅显示,在过去的几天。

这是他在那里挖围绕在您的网站上的孔,可能使用自动化工具来发现你正在运行什么软件,什么漏洞,他可以很容易地利用。

一旦他知道可能的方式欺骗​​你的网络服务器倾销的一个或多个数据库,而不是简单地回答你的预先安排的查询,他将提取他可以,和上传任何东西,看起来像个人身份识别信息(PII )到一个公共的放置点,数据盗窃的偷窥者可以抓住它的意愿。

最后一步是一个tweet,让全世界都知道。

在上周末的一个可悲的例子是他的黑客的精品澳大利亚育婴网站。他只用大约900条记录,也许是因为这是整个数据库收集由网站所有者。

(电子邮箱,网名和密码被泄露。你的全名,你的孩子的名字和生日,要求在网页“,并没有出现在转储。这是一个小的怜悯,我想。)

的密码,你可能已经猜到了,不散列或掩盖在所有。他们都存储在纯文本。

  • 如果你是一个用户被黑客攻击这样的一个网站,与任何其他网站,和您分享您的密码,这些密码更改立即停止使用密码。
  • 如果你的网站被黑客攻击这样的老板,考虑您的主网页上发布警告,提醒用户。
  • 如果你是运营商的任何形式的网站或类似的网络财产,不保持明文密码。
  • 如果你认为一个网站被存储明文密码,考虑退出它,直到它停止这样做。

请注意,最后一点暗示,你可以很容易地判断一个网站是否做了正确的事情,与你的密码。

幸运的是,许多网站发布,或会告诉你,如果你问,他们是如何处理与密码存储和复位。

但其他人不会,而且往往这是因为他们知道他们有一个坏消息,或者甚至没有意识到问题的重要性。

在这种情况下,您可能能够查出试图重设密码。

如果你会得到一个密码重置链接,他们可能没有被存储密码明文。但是,如果你让你的旧密码在一封电子邮件中,那么显然该网站必须已经存储。

婴儿护理建议,这是非常值得的,可以在其不安全行为,因为在不使用HTTPS登录阶段,更糟糕的是,它甚至没有使用HTTP“挑战 - 回应”密码验证,其中至少有防止密码出未加密的。您的密码是存在的,在清晰的,等待被窃取。

网站的用户 ,要提高警惕。如果你认为一个网站是不是把您的PII与它应有的尊重,即使是所谓的临时或一次性登录,然后再考虑工作,购物或玩别的地方。

网站经营者 ,不要高兴的安全标准十,五,甚至两年前。显示您所关心的PII,并帮助建立和维持客户信任的。

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog