Är hackade e-postkontonskontrollverktyg äkta eller en bluff?

Efter nyheterna om en stor överträdelse av Googles servrar som resulterade i att en påstådd 5 miljoner e-postadresser hackades, föreslog olika webbplatser att läsarna skulle kontrollera om de hade blivit offer genom att ange sina e-postadresser i “kontrollverktyg” - webbplatser som kan avgöra om en e-postadress finns i en lista över hackade referenser.

Problemet är att några av dessa kontrollverktyg inte var lika legitima som de webbplatser som länkar till dem kan ha hoppats ...

5 miljoner e-postadresser: Sanningen

Rapporterades vid den tiden som en massiv läcka av 5 miljoner Gmail-användarnamn och lösenord, så visade det sig snart att historien var bra, bara det: en berättelse.

Förklarade det lite senare visade Google att mindre än 2% av användarnamnet / lösenordskombinationerna var korrekta och att deras egna inloggningssäkerhetsverktyg skulle ha fångat majoriteten av dem.

De klargjorde också att referensuppgifterna inte hackades från sina egna servrar, men från andra webbplatser:

Det är viktigt att notera att i detta fall och i andra var de läckta användarnamnen och lösenorden inte resultatet av ett brott mot Googles system. Dessa referenser erhålls ofta genom en kombination av andra källor.

Om du till exempel använder samma användarnamn och lösenord över webbplatser, och en av dessa webbplatser blir hackad, kan dina uppgifter användas för att logga in på de andra.

Så, ett Gmail-konto som hämtats i en tidigare överträdelse - hög profil eller på annat sätt - kunde ha varit en av dem i datadumpningen av referenser i händerna på “hackare”. I huvudsak information som kan ha varit online på ett eller annat sätt, Gmail-konton cribbed från flera källor.

Men hur gick den här historien så snabbt? Förmodligen med hjälp av ett stort runda nummer som 5 miljoner och den smarta strängen som drack av hackarna som skrev in lösenordet på ett ryskt Bitcoin-forum. Kasta in ett online kontrollverktyg som bekräftar om ditt eget e-postkonto är i dumpan, och du har en stor nyhetshistoria.

Det verkar naturligtvis troligt att isleaked.com är inte webbplatsen folk trodde det var.

Hur fungerar en Fake Hacked Email Account Checker

Kontrollera en e-postadress mot en databas (som kan vara SQL, Access eller till och med en textfil Så Vad är en databas, hur som helst? [MakeUseOf Explains] Så vad är en databas, hur som helst? [MakeUseOf Explains] För en programmerare eller en teknikentusiast , begreppet en databas är något som verkligen kan tas för givet. Men för många är begreppet en databas i sig lite utländsk ... Läs mer) hackade e-postkonton är relativt enkelt. Kombinerat med ett lättladdat skript kan en sådan webbplats vara inställd på 30 minuter eller så.

Troy Hunt, under tiden, har en mycket bättre inställning, varför du borde använda sin webbplats för att kontrollera att du läser dina uppgifter när du läser eller hör av ett kontohack.

Som förklarad på hans blogg har Hunt byggt, har jag blivit?, En legitim webbplats (Hunt är en Microsoft MVP för utvecklarskydd) som är utformad för att genomsnittliga användare ska skriva in deras e-postadress och ta reda på om de har hackats. Med hjälp av data som skickas till webbplatser som Pastebin.com, berättar det även om vilket brott som är ansvarigt för ditt e-postkonto närvaro i sin databas.

Letar efter ett legitimt hackat konto för e-postkonto?

När resultaten visas, visar webbplatsen namnet på webbplatsen där dina kontouppgifter läcktes ut från. Förhoppningsvis skulle den webbplatsen ha skickat dig privat eller gjort ett meddelande.

(Självklart borde du vara orolig för att ditt e-postkonto har hackats, du borde ändå ändra ditt lösenord ändå. Kom ihåg att göra det säkert och minnesvärt. 6 Tips för att skapa ett obrott lösenord som du kan komma ihåg 6 tips för att skapa ett obrottligt lösenord som du Kan komma ihåg Om dina lösenord inte är unika och oföränderliga, kan du också öppna ytterdörren och bjuda in rånarna till lunch. Läs mer.)

Som du kan se från bilden ovan var mitt e-postkonto ett av de många som hämtades i det massiva Adobe-brottet från 2013. Du bör använda informationen Hunt webbplats ger dig möjlighet att agera omedelbart, även om du är medveten om att även när ditt lösenord har ändrats, Din e-postadress kommer att finnas kvar på webbplatsen.

Om det är praktiskt kan det också vara värt att överväga att ändra e-postadressen du använder med dina online-konton.

Due Diligence bör inte vara en sak av det förflutna

Ett viktigt element i journalistik är due diligence; kontroll av fakta Det är inte tillräckligt med upprepade pressmeddelanden. Varje författare, om man slår ut innehåll för 1 dollar per 1000 ord eller tjänar till ett toppnamn i publicering kan göra det.

Tyvärr på World Wide Web, det händer inte tillräckligt.

Några minuter av faktiska kontroller skulle ha visat att de 5 miljoner adresserna var en tillverkning. Som vi rapporterade då hade adresserna blivit cribbed från en samling av tidigare läckor. Gmail Passwords Leak Online, Microsoft Drops Windows Phone, och mer ... [Tech News Digest] Gmail-lösenord läcka online, Microsoft droppar Windows Phone och mer ... [ Tech News Digest] Även negativa recensioner, Deezer i USA, Google Pyramider, NES 3DS och en upplysande Rube Goldberg-maskin. Läs mer . De ryska hackarna kunde samla en lista snarare än att bryta Googles säkerhet.

Av särskilt misstankar var däremot webbplatsen som rekommenderades av många webbplatser för att kontrollera e-postmeddelanden, isleaked.com. Nyfiken registrerad bara två dagar före läckan, i Ryssland var dess plötsliga existens antingen enormt oförskämd eller planerad.

Som jag alltid säger finns det inga händelser i online-säkerhet.

Trots allt, vad bättre sätt att bekräfta listan över adresser du hävdar ha hackat än att få kontoägare att kontrollera om de fortfarande använder dem eller inte? Det är modus operandi för spammare - döda adresser är värdelösa, varför många spam e-postmeddelanden frågar dig att svara. Ditt svar är inloggat och adressen är kvar.

Läckan email checker isleaked.com kan enkelt vara ett mer sofistikerat tillvägagångssätt. Medan de hävdar:

Vi samlar inte in dina e-postadresser, webbadresser / IP-adresser, åtkomstloggar eller kontroller resultat. Antingen gör vi inte något skadligt för din enhet under testet!

... det finns liten anledning att lita på webbplatsen. Troy Hunt, som har ett rykte att upprätthålla, förklarar hur hans webbplats fungerar, så det är vettigt att använda det.

Bedömningen: Reagerar inte utan fakta

Vad vi kan lära av här är att ingen ska agera på fordringar på dataöverträdelser och hacken utan att ha hela fakta. Det finns helt enkelt för många variabler att ta hänsyn till.

Med Gmail-hackkraven förefaller det som ett säkert antagande att de påstådda hackarna enkelt verifierade sin samling adresser, antagligen användes i olika spamkampanjer.

Några var äkta, andra gick långt ut.

Den bästa webbplatsen för att kontrollera om ditt e-postmeddelande har hackats och hittat på en webbplats som Pastebin.com är haribeenpwned.com.

Ironiskt nog är det så mycket som de 5 miljoner Gmail-adresserna som hackats hackats från Google, det var teknikpressen som verkligen var pwned.

Rob Hyrons via Shutterstock

Utforska mer om: Online-säkerhet, säkerhetsbrott.