我是PWNEND创始人的主题演讲,提供了与善意的“世界密码日”的醒目的对立面
想象一下,当孩子的智能手表的地理位置突然从网球练习到海洋中部时,父母的恐怖。
这正是英国Infosec公司笔测试合作伙伴的Ken Munro通过开发不安全的直接对象参考(书架)脆弱性物联网设备,并在特洛伊·亨特(Troy Hunt),数据泄露记录索引的创建者和他的女儿。
这是“无尽数据流”背后的许多令人大开眼界的伪劣安全故事之一,今天(5月6日)在亨特(Hunt)的主题演讲中,在全五月的黑帽子亚洲2021年的主题演讲中得到了叙述。
其他APITictoctrack儿童手表中的缺陷意味着Munro的同事Vangelis Stykas成功妥协了另一个用户的帐户,并通过该设备发起了语音调用,而佩戴者需要零互动。
蒙罗(Munro)登录了自己的帐户,还通过简单地更改标识符参数来损害其他“家庭”帐户。随后的安全补丁创建了一个更加令人震惊的回归错误。
亨特还引用了纯粹的身体入侵,但“完美地说明”了他的数字不安全感主题。
通知供应商他有拆除他们的$ 47.99生物识别锁,一个受欢迎的YouTube锁定者被告知,这种装置“对于没有螺丝刀的人来说是无敌的”。
电话泡的电子邮件营销
在主题演讲中,亨特指出,即使是据称是安全意识的组织“使人们很难做出良好的安全决定”。
Infosec Pro引用了他从澳大利亚的ANZ银行收到的一封“电话”电子邮件,其中包含可疑的HTTP URL,该网址重定向到另一个可疑URL:“ c00.adobe.com”。
该电子邮件原来是真正的贸易商交流。
“一遍又一遍地”,感叹狩猎,我们看到“合法的组织发送合法的沟通,这些沟通与网络钓鱼攻击”。
澳大利亚Infosec Pro Troy Hunt提供了黑帽亚洲2021主题演讲
公开访问的数据库
创立于2013年,我是否有过PWNED,现在已经索引了超过110亿个个人数据记录,不仅是从折衷的网站上收获的,而且还从公开访问的数据库中索引。beplay体育能用吗
该服务最近已更新以包括爆炸物中的电话号码Facebook Mega-breach数据由最近的情绪僵尸网络的删除。
虽然大多数人认为110亿个违反数据点仅仅是一个士气低落的里程碑,但这种看似永无止境的安全事件的雪崩使人们对亨特有很大的了解,使人们对亨特的基本原因有很大的了解数据泄露。
例如,在2016年,亨特(Hunt550,000名献血者。
亨特(Hunt)嘲笑最小化“数字足迹”的观念是遥不可及的,他指出,他是那些用笔和纸提交细节的受害者之一。
他说:“攻击者的水果经常悬挂得如此之低”俄罗斯伊斯兰网络圣战”)能够导致TalkTalk数据泄露,这使英国电信公司耗资7700万英镑(1.07亿美元)。
在此类妥协期间收获的数据的不可思议的数量出现在巨大凭证填充列表不仅发布了暗网beplay体育能用吗市场,但也在Twitter上。
密码复杂性标准的问题
数据泄露研究的Doyen还绘制了痛苦的演变密码数十年来的安全。
亨特说,在1980年代,大约有90,000个英国房屋可以使用“ Prestel”系统,用户可以通过该系统拨入中心位置并验证服务器。
但是,一对善意黑客发现行政帐户的密码“ 1234”,这一发现导致了起诉和最终无罪释放,并且英国的第一个 -和最新- 计算机犯罪法。
快进了Noughties和密码复杂性标准的引入。
推荐的英国计算机滥用法案:克里斯·霍尔姆斯·CBE勋爵(Lord Chris Holmes CBE)在网络运动中呼吁大修“古老”立法
严格的规则 - 规定最小长度的定期密码更新,包括较低的情况,上情况,数值和非alphanumerical字符 - 建立在“人类不是自动化的随机数生成器中,与密码管理器无自动化的随机数生成器”。
Faced with ever-growing friction, “people follow very predictable patterns and take shortcuts to memorizing the password”, such as using post-it notes and numerically incrementing ‘MySafeP@ssw0rd1!’ to ‘MySafeP@ssw0rd2!’ and so on with every 90-day prompt, said Hunt.
迟来的是,该行业正在通过多因素改变策略验证他总结说,用户行为分析提供了替代性,较低摩擦解决方案。beplay维护得多久
