Milijonai internetinių duomenų paviešinta

https://www.malwarebytes.com/blog/news/2024/01/the-mother-of-all-breaches-26-billion-records-found-online
https://www.forbes.com/sites/daveywinder/2024/01/23/massive-26-billion-record-leak-dropbox-linkedin-twitterx-all-named/?sh=5eb06ccab58e
https://nypost.com/2024/01/23/lifestyle/extremely-dangerous-leak-reveals-26-billion-account-records-stolen-from-twitter-linkedin-more-mother-of-all-breaches/


Nuo vakar nakties vienos didžiausių naujienų platformų pradėjo dalintis informacija jog buvo padarytas rekordinis data breachas ir buvo paviešinti bilijonai duomenų iš įvairiausių žinomų platformų tokių kaip: 

LinkedIn, Twitter, MyfitnessPal ir etc.

Tai nežinau kiek turėtumėt sunerimti, gal tiesiog bendra rekomendacija būtų tiems kurie neturi 2FA užsidėt jį būtų tinkamas laikas.

Kol kas duomenų nėra, bet pasitikrinti reguliariai galite čia - https://haveibeenpwned.com/

Kas yra bilijonas? Sudejus tuos skaicius gausis 26 bilijonai?

Pirma reikšmė žodyne tai 1k milijardų 🙂

Prieš 40 minučių, MattFreeman parašė:

 paviešinti bilijonai duomenų

Arba rašyk lietuviškai(Milijardai), arba angliškai(billions). O ne du žodžius į vieną krūvą sumaišyt.

Prieš 41 minutę, MattFreeman parašė:

Tai nežinau kiek turėtumėt sunerimti, gal tiesiog bendra rekomendacija būtų tiems kurie neturi 2FA užsidėt jį būtų tinkamas laikas.

Jau senai tie 2FA nieko nebepadeda ir neapsaugo, nes su tavo session cookies nuimt tą 2FA linką scameriams užtrunka maždaug tiek pat laiko, kiek tau perskaityt šitą tekstą.

Prieš 1 minutę, Irviukas parašė:

Arba rašyk lietuviškai(Milijardai), arba angliškai(billions). O ne du žodžius į vieną krūvą sumaišyt.

Jau senai tie 2FA nieko nebepadeda ir neapsaugo, nes su tavo session cookies nuimt tą 2FA linką scameriams užtrunka maždaug tiek pat laiko, kiek tau perskaityt šitą tekstą.

būtų naudinga jeigu duotum naudingu patarimų kaip man ir kitiems apsisaugot, o ne pasakot kas veikia ar neveikia.

Prieš 3 minutes, Irviukas parašė:

Arba rašyk lietuviškai(Milijardai), arba angliškai(billions). O ne du žodžius į vieną krūvą sumaišyt.

Jau senai tie 2FA nieko nebepadeda ir neapsaugo, nes su tavo session cookies nuimt tą 2FA linką scameriams užtrunka maždaug tiek pat laiko, kiek tau perskaityt šitą tekstą.

session cookies nelabai gausi, kai turi tik pavogta duombaze. o jei kompas uzkrestas, kitas reikalas

Prieš 1 minutę, MattFreeman parašė:

būtų naudinga jeigu duotum naudingu patarimų kaip man ir kitiems apsisaugot, o ne pasakot kas veikia ar neveikia.

Viskas paprasta.

Nenaršyk neaiškiuose abejotinos reputacijos webuose su milijonais popup'ų, 
Nesisiusk random failų iš nežinia kur, 
neclikink ant random žmonių atsiūstų linkų (kartais ir pažįstamų, jeigu matai, kad linkas neaiškus.)

"Session cookies" atakos dazniausiai buna nutaikyto tipo ("targeted attacks"), nes automatiniu budu prigaudyti vertingu prisijungimu vargu bau ar pavyks.

Kaip likti saugiam be paranojos:

1. Naudoti slaptazodziu saugojimo aplikacijas (pats naudoju Bitwarden ir KeePass) arba narsykleje integruota. Pvz.: Firefox.
2. Generuoti minimum 12 simboliu slaptazodzius;
3. Naudoti + adresavima el.pasto dezutems. Pvz.: [email protected] -> [email protected] . Daugiau cia: https://support.google.com/a/users/answer/9282734?hl=en&ref_topic=9348490&sjid=3158019813487717821-EU#filter

O jei esat paranojikas (toks kaip as) tai prie auksciau isvardintu dalyku:

1. Naudojat hardware 2FA (yubikey) + iprastus 2FA. Jungiates visur su google, twitter ar github paskyromis ten kur hardware 2FA nepalaiko;

2. El.pastui naudojates relay. As naudoju https://relay.firefox.com/

3. Slaptazodziai visada minimum 24 simboliu;

4. Ten kur paskyros nenaudoju daugiau nei 6 menesius - istrinu. Visi e-shop'ai ir t.t.

5. Pasidarykit e.parasa, tokiu atveju SIM swap'as nera galimas (galiu klysti).

Prieš 57 minutes, Irviukas parašė:

nes su tavo session cookies nuimt tą 2FA linką scameriams užtrunka maždaug tiek pat laiko

Kokiam tinklapyje nuimt 2FA nereikia authentikuotis iš naujo? Tai kaip tu turėdamas tik session cookie iš naujo authentikuosies ir nuimsi ta 2FA?

Prieš 21 minutę, erne456 parašė:

Kokiam tinklapyje nuimt 2FA nereikia authentikuotis iš naujo? Tai kaip tu turėdamas tik session cookie iš naujo authentikuosies ir nuimsi ta 2FA?

Youtube. Tarkim LTT paaiskina kaip tas daroma po to kai ju paciu acc ownino:

Dideliu zaideju acc buvo sekmingai uzgrobti su ijungtais 2FA. Twitter taip pat. Man rodos paties Musko acc buvo paimtas.

Niekas, absoliuciai niekas viesuose servisuose jums nepades apsisaugoti jei i jus nusitaike profesionalai.

Prieš 9 minutes, nix parašė:

Youtube. Tarkim LTT paaiskina kaip tas daroma po to kai ju paciu acc ownino:

Dideliu zaideju acc buvo sekmingai uzgrobti su ijungtais 2FA. Twitter taip pat. Man rodos paties Musko acc buvo paimtas.

Niekas, absoliuciai niekas viesuose servisuose jums nepades apsisaugoti jei i jus nusitaike profesionalai.

Peržiūrėjau video ir vistiek nematau paaiškinimo kaip tik su tokenu galima nuimti 2FA. Taip, tu gali naudotis accountu ir daryti viską ką nori, bet kaip tu nuimsi 2 factor authentication? Kaip iš pačio accounto pašalinsi two factor authentication ir jį pavogsi? Tu turėsi accessą tol, kol pakeis slaptažodį ir išvalys tokenus

Ir ne, net jeigu ir "profai" nusitaikė nieko jie nepadarys jeigu bent kiek turi proto, o ir dažniausios atakos būna social engineering ir phishing, o ne dėl to kad pavogė "tokeną".

Prieš 24 minutes, erne456 parašė:

Ir ne, net jeigu ir "profai" nusitaikė nieko jie nepadarys jeigu bent kiek turi proto, o ir dažniausios atakos būna social engineering ir phishing, o ne dėl to kad pavogė "tokeną".

LTT kompetencija saugumo srityje yra daug didesne nei mano ar tavo, tad "nieko nepadarys" yra svelniai tariant naivu. Visi zmones, visi daro klaidas. Atsidare el.pasta girtas ir paspaude ant nuorodos. Tiek ir tereikejo.

Spear phishing ir/ar social engineering tipo atakos yra tik viena is sudedamuju daliu siekiant pavogti sesija.

Youtube atveju tikriausiai sesija sukurta taip, jog nereikalauja re-verifikacijos keiciant duomenis. Faktas, jog paskyra buvo uzgrobta, tikslaus mechanizmo deretu klausti youtube. Gal jie sita dalyka jau pataise, kazkaip negirdeti jog butu daugiau high-profile pwn.

Nuolat gaunu uzklausu del nulauztu Instagram ir Facebook profiliu, juose irgi buna aktyvuota 2FA (SMS, Google Auth).

Prieš 6 minutes, nix parašė:

Atsidare el.pasta girtas ir paspaude ant nuorodos. Tiek ir tereikejo.

Priklauso nuo sistemos. Jeigu MacOS ar Android tai padarys kažką tik tada jeigu telefonas per senas, ar macas ir yra aktyvių exploitų, kitu atveju be aktyvių exploitų tavo sistemoje malicious appsas nepavogs nieko. Imant MacOS viskas guli tarp Keychain ir mažų mažiausiai reikia suvesti admin slaptažodį jog jį atrakinti pasiimti. Nekalbu apie nulaužtus windowsus kur prisirašę bet ko iš betkur, ten gali užtekti ir one click. Tačiau jeigu windowsai švarūs, nėra aktyvių exploitų, nemanau kad tas "one click" kažką lems, jeigu nesisiųsi appso ir nepaleisi su admin teisėm. 

Šiuo Linus atveju tai čia didžiausias įmanomas apsileidimas, kaip galima siųstis iš pašto zip'ą ir dar jį atidarinėti, net negalima nei pdf nei word ar excel failų siųstis, visi gali turėti executables.

Kai kažkas tiesiog prisijungia su nutekintu slaptažodžiu prie paskyros kurios login ir pass buvo prieinami viešai, čia skaitosi nulaužimas?

kai prie "nulaužto" gmailo prisijungia, ir ten iš įvairių kitų portalų per forgot password funkciją atsisijunčia naujus slaptažodžius, ir paskui tuose portaluose pakeičia ne tik slaptažodžius, bet ir emailus, irgi skaitosi nulaužimas?

Man atrodo kad čia yra žmonių kvailumas, kuris niekada nesibaigs. O ne nulaužimas.

Net nereikia kalbeti apie exploitus arba backdoors, nes tiesiog su nutekintais slaptažodžiais, be jokių laužimų ar virusų pasiekia svetimas paskyras dažniau negu su minėtais "virusais"

Man atrodo nutekinti duomenys čia ne apie įsilaužimą, o apie tai, kad duomenų pack'ai parduodami juodojoj rinkoj spameriams ir scameriams. Kaip galvojat, kodėl kai skambina aferistas - žino jūsų vardą? 🙂 

MySpace ir Canva tai jau sunku suskaičiuot kelinta kart breakina... 😄 

Prieš 2 minutes, Stanley parašė:

Man atrodo nutekinti duomenys čia ne apie įsilaužimą, o apie tai, kad duomenų pack'ai parduodami juodojoj rinkoj spameriams ir scameriams. Kaip galvojat, kodėl kai skambina aferistas - žino jūsų vardą? 🙂 

According to the team, while the leaked dataset contains mostly information from past data breaches, it almost certainly holds new data, that was not published before.

Tai ne tik apie senus leakus, tačiau apie naujus taip pat.

Twitteris mano atseit nuleakintas, ar pasikeitusi slaptiką bus gerai, ar kažką papildomai reiktų padaryt? 

Per bitwarden susigeneravau random slaptažodį ir naują susikūriau. 

Didžiausia problema, jog eilę metų naudojau vieną emailą daug kam, paskyroms, darbui, shopams, ir t.t. visos paskyros prie to email, viskas realiai prie google paskyros, norėtųsi kažką saugesnio susikurt, bet tai kiek reikalų visur viską pasikeist.

Prieš 17 minučių, kloppy parašė:

Twitteris mano atseit nuleakintas, ar pasikeitusi slaptiką bus gerai, ar kažką papildomai reiktų padaryt? 

Per bitwarden susigeneravau random slaptažodį ir naują susikūriau. 

Didžiausia problema, jog eilę metų naudojau vieną emailą daug kam, paskyroms, darbui, shopams, ir t.t. visos paskyros prie to email, viskas realiai prie google paskyros, norėtųsi kažką saugesnio susikurt, bet tai kiek reikalų visur viską pasikeist.

2FA, naujas slaptažodis ir nauji "secret" klausimai ar kitaip būna įvardijami t.y. klausimai į kurios atsakyma gali žinoti tik tu pvz "koks tavo mamos vardas", nežinau ar turi šita twitteris, bet turėtų turėt. 

Svarbiausiai keep eye ant gmailo, viska susikeitus stebėk ar išliko aktyviu sesiju, jas galima šiaip atjungti neaiškias sesijas. Dažniausiai kiek teko pačiaam susidurt, jungiasi random lokacijos, šiame sąraše kuri tuojaus prisegsiu matosi jog jungiosi tik aš. 

O šita listą pats gali susirasti pagrindiniam screene nuėjus į apačia. 

Prieš 8 minutes, MattFreeman parašė:

2FA, naujas slaptažodis ir nauji "secret" klausimai ar kitaip būna įvardijami t.y. klausimai į kurios atsakyma gali žinoti tik tu pvz "koks tavo mamos vardas", nežinau ar turi šita twitteris, bet turėtų turėt. 

Svarbiausiai keep eye ant gmailo, viska susikeitus stebėk ar išliko aktyviu sesiju, jas galima šiaip atjungti neaiškias sesijas. Dažniausiai kiek teko pačiaam susidurt, jungiasi random lokacijos, šiame sąraše kuri tuojaus prisegsiu matosi jog jungiosi tik aš. 

O šita listą pats gali susirasti pagrindiniam screene nuėjus į apačia. 

Ačiū. 🙂 Naudinga. 

Viskas kaip ir tvarkoje. 

Twitteryje pasidariau 2FA autentikavimą, turėtų būti viskas tvarkoj. 

Gerą puslapį radau, galima pasitikrinti norimą svetainę, ar nebuvo breacho

https://cybernews.com/security/billions-passwords-credentials-leaked-mother-of-all-breaches/

Kažkokia keista naujiena, dauguma tų "milijonų" old news. Wattpad 2020, Deezer 2019, AdultFriendFinder 2016, Adobe 2013.

prieš 14 valandų, kloppy parašė:

Gerą puslapį radau, galima pasitikrinti norimą svetainę, ar nebuvo breacho

https://cybernews.com/security/billions-passwords-credentials-leaked-mother-of-all-breaches/

nežinau ar surfshark duoda nemokamai, bet man kaip jų vpn turėtojui duoda tikrinti ne tik emailą, bet ir asmens ID ar kitus parametrus, ir jei tie parametrai atsiranda internete, tada informuoja ne tik apie tai kad "kažkas" nutekinta, bet ir kas konkrečiai nutenkinta.

kas labiausiai patinka, tai nulaužimų apibendrinimas 😄 gali pasitikrinti ar tavo svarbiausias ir pagrindinis slaptažodis dar nėra internetuose

O šiaip šiai dienai didžiausią duomenų nutekinimą yra padarius citybee, turbūt neveltui ir toks didelis skandalas apie juos, bei ieškinys prieš juos. Iš citybee nutekinimo yra ne tik vienas iš mano pagrindinių slaptažodžių, kurį visur pakeisti turėjau daug vargo, bet ir asmens ID, gimimo data, asmeninis telefonas, vardas pavardė, mano tautybė, ir net vairuotojo pažymėjimo ID. kosmosas. labai tikiuos kad vartotojų aljansas sugebės laimėti teismą prieš juos