Iklan
Mengikuti berita tentang pelanggaran besar server Google yang mengakibatkan dugaan 5 juta alamat email diretas, berbagai situs web menyarankan agar pembaca periksa apakah mereka telah menjadi korban dengan memasukkan alamat email mereka ke dalam "alat pemeriksaan" - situs web yang dapat menentukan apakah alamat email ada dalam daftar yang diretas kredensial.
Masalahnya adalah, beberapa alat pemeriksaan ini tidak sah seperti yang diharapkan oleh situs web yang menghubungkan mereka ...
5 Juta Alamat Email: Kebenaran
Dilaporkan pada saat itu sebagai kebocoran besar-besaran dari 5 juta nama pengguna dan kata sandi akun Gmail, segera terungkap bahwa ceritanya, yah, hanya itu: sebuah cerita.
Jelaskan sedikit kemudian, Google mengungkapkan bahwa kurang dari 2% kombinasi nama pengguna / kata sandi akurat, dan alat keamanan login mereka sendiri akan menangkap sebagian besar dari mereka.
Mereka juga mengklarifikasi bahwa kredensial tidak diretas dari server mereka sendiri, tetapi dari situs web lain:
Penting untuk dicatat bahwa dalam kasus ini dan dalam kasus lain, nama pengguna dan kata sandi yang bocor bukanlah hasil dari pelanggaran sistem Google. Seringkali, kredensial ini diperoleh melalui kombinasi sumber lain.
Misalnya, jika Anda menggunakan kembali nama pengguna dan kata sandi yang sama di seluruh situs web, dan salah satu situs web tersebut diretas, kredensial Anda dapat digunakan untuk masuk ke situs lainnya.
Jadi, akun Gmail yang diambil dari pelanggaran sebelumnya - profil tinggi atau lainnya - bisa jadi salah satu yang ada di tumpukan data kredensial di tangan "peretas". Pada dasarnya, informasi yang mungkin sudah online dalam satu atau lain bentuk, akun Gmail yang diambil dari beberapa sumber.
Tapi bagaimana cerita ini menjadi begitu cepat? Mungkin dengan bantuan angka bulat besar seperti 5 juta, dan penarikan cerdik dari para peretas yang memposting kata sandi akun di forum Bitcoin Rusia. Lemparkan ke dalam alat pemeriksaan online yang mengonfirmasi apakah akun email Anda sendiri ada di dump, dan Anda punya berita besar.
Tentu saja, sepertinya begitu isleaked.com bukan situs web yang orang pikirkan.
Cara Pemeriksa Akun Email Peretasan Palsu Bekerja
Memeriksa alamat email terhadap basis data (yang mungkin SQL, Access atau bahkan file teks Jadi Apa Itu Basis Data? [MakeUseOf Menjelaskan]Bagi seorang programmer atau penggila teknologi, konsep basis data adalah sesuatu yang benar-benar dapat diterima begitu saja. Namun, bagi banyak orang konsep database itu sendiri agak asing ... Baca lebih banyak ) akun email yang diretas relatif mudah. Dikombinasikan dengan skrip yang mudah diunduh, situs web seperti itu dapat diatur dalam 30 menit atau lebih.
Troy Hunt, sementara itu, memiliki pendekatan yang jauh lebih baik, itulah sebabnya Anda harus menggunakan situsnya untuk memeriksa kebocoran kredensial Anda setiap kali Anda membaca atau mendengar tentang peretasan akun.
Seperti yang dijelaskan di blog-nya, Hunt telah membangun Sudahkah Saya Dipasangkan?, situs web yang sah (Hunt adalah MVP Microsoft untuk Keamanan Pengembang) yang dirancang untuk pengguna biasa mengetik alamat email mereka dan mencari tahu apakah mereka telah diretas atau tidak. Menggunakan data yang dikirimkan ke situs seperti Pastebin.com, bahkan memberi tahu Anda pelanggaran mana yang bertanggung jawab atas keberadaan akun email Anda di basis datanya.
Mencari Cek Akun Email Resmi yang Diretas?
Saat hasilnya ditampilkan, situs menampilkan nama situs web tempat detail akun Anda bocor. Semoga situs itu mengirim email kepada Anda secara pribadi atau membuat pengumuman.
(Tentu saja, jika Anda khawatir bahwa akun email Anda telah diretas, Anda tetap harus mengubah kata sandi Anda. Ingat untuk membuatnya aman dan mudah diingat 6 Tips Untuk Membuat Kata Sandi yang Tidak Dapat Dipecahkan Yang Dapat Anda IngatJika kata sandi Anda tidak unik dan tidak bisa dipecahkan, Anda sebaiknya membuka pintu depan dan mengundang para perampok untuk makan siang. Baca lebih banyak .)
Seperti yang Anda lihat dari gambar di atas, akun email saya adalah salah satu dari banyak yang diambil dalam pelanggaran Adobe besar-besaran tahun 2013. Anda harus menggunakan informasi yang disediakan situs Hunt untuk bertindak segera, meskipun perlu diperhatikan bahwa meskipun kata sandi Anda telah diubah, alamat email Anda akan tetap ada di situs.
Jika praktis, mengubah alamat email yang Anda gunakan dengan akun daring Anda mungkin juga patut dipertimbangkan.
Uji Tuntas Seharusnya Tidak Menjadi Hal Masa Lalu
Elemen vital jurnalisme adalah due diligence; pengecekan fakta. Cukup memuntahkan siaran pers tidak cukup. Setiap penulis, apakah mengaduk-aduk konten seharga $ 1 per 1000 kata atau dibayar dengan nama besar dalam penerbitan dapat melakukannya.
Sayangnya di World Wide Web, itu tidak terjadi cukup.
Beberapa menit pengecekan fakta menunjukkan bahwa klaim 5 juta alamat itu palsu. Seperti yang kami laporkan pada saat itu, alamat-alamatnya telah dikumpulkan dari kumpulan kebocoran sebelumnya Password Gmail Kebocoran Online, Microsoft Drops Windows Phone, Dan Banyak Lagi... [Tech News Digest]Juga, ulasan negatif, Deezer di AS, Google Pyramids, NES 3DS, dan mesin Rube Goldberg yang mencerahkan. Baca lebih banyak . Peretas Rusia mampu membuat daftar daripada melanggar keamanan Google.
Kecurigaan tertentu, sementara itu, adalah situs yang direkomendasikan oleh banyak situs web untuk memeriksa email, isleaked.com. Anehnya terdaftar hanya dua hari sebelum kebocoran, di Rusia, keberadaannya yang mendadak sangat kebetulan, atau direncanakan.
Seperti yang selalu saya katakan, tidak ada kebetulan dalam keamanan online.
Lagi pula, cara apa yang lebih baik untuk mengonfirmasi daftar alamat yang Anda klaim telah diretas daripada meminta pemilik akun memverifikasi apakah mereka masih menggunakannya atau tidak? Ini adalah modus operandi spammer - alamat mati tidak berharga, itulah sebabnya banyak email spam meminta Anda untuk merespons. Respons Anda dicatat dan alamat dipertahankan.
Pemeriksa email kebocoran isleaked.com bisa dengan mudah menjadi pendekatan yang lebih canggih. Sementara mereka mengklaim:
Kami tidak mengumpulkan email, URL / alamat IP Anda, log akses atau memeriksa hasil. Kami tidak melakukan apa pun yang berbahaya dengan perangkat Anda selama pengujian!
... ada sedikit alasan untuk mempercayai situs ini. Troy Hunt, yang memiliki reputasi untuk ditegakkan, menjelaskan bagaimana situsnya bekerja, jadi masuk akal untuk menggunakannya.
Putusan: Jangan Bereaksi Tanpa Fakta
Apa yang dapat kita pelajari dari hal ini adalah bahwa tidak seorang pun boleh bertindak berdasarkan klaim pelanggaran data dan peretasan tanpa memiliki fakta lengkap. Ada terlalu banyak variabel untuk diperhitungkan.
Dengan klaim peretasan Gmail, tampaknya asumsi yang aman bahwa peretas yang diduga hanya memverifikasi kumpulan alamat mereka, mungkin digunakan dalam berbagai kampanye spam.
Beberapa asli, yang lain sudah lama kedaluwarsa.
Situs web terbaik untuk memeriksa apakah surel Anda telah diretas dan ditemukan di situs seperti Pastebin.com haveibeenpwned.com.
Ironisnya, sejauh menyangkut 5 juta alamat Gmail yang seharusnya diretas dari Google, itu adalah pers teknologi yang benar-benar diperdaya.
Rob Hyron melalui Shutterstock
Christian Cawley adalah Wakil Editor untuk Keamanan, Linux, DIY, Pemrograman, dan Penjelasan Teknologi. Ia juga memproduksi The Really Useful Podcast dan memiliki pengalaman luas dalam dukungan desktop dan perangkat lunak. Sebagai kontributor majalah Linux Format, Christian adalah seorang penggerutu Raspberry Pi, pencinta Lego dan penggemar game retro.