다크 웹에서 개인정보가 거래되고 있다.

지난 달 줌은 사용자 데이터가 해커들의 희생양이 된 회사들의 긴 명단에 합류했다. 매우 인기 있는 화상 회의 플랫폼에 대한 50만명 이상의 계정 로그인이 무료로 제공되거나 거의 무료로 제공되는 어두운 웹 사이트에서 발견되었다.

일부 사용자들은 이에 대해 회사를 탓하고 싶어 할 수도 있지만, 사실 이것은 해커들, 인터넷의 무법적인 구석, 그리고 우리 자신이 더 나은 암호를 선택하지 못하는 것과 관련된 훨씬 더 큰 문제의 일부이다.
여기 여러분의 개인 정보가 어떻게 어두운 웹에서 끝나는지 와 여러분 자신을 보호하기 위해 할 수 있는 것들이 있습니다.

 

 

암호 문제

매년 수백만명의 고객이 피싱, 말웨어 및 기타 유형의 공격을 통해 데이터 침해로 인해 피해를 입습니다. 캘리포니아에 본사를 둔 비영리 단체인 개인 정보 보호 재단은 2005년 이후 116억건 이상의 기록이 침해당했다고 밝혔다.
그런 계정들은 종종 해커 포럼이나 어두운 웹 사이트, 토르라고 불리는 특별한 타입의 브라우저에 의해서만 접근할 수 있는 웹 사이트 모음에 버려진다. 원래 2002년 미 해군이 익명의 온라인 통신을 가능하게 하기 위해 만든 시스템의 강화된 암호화와 익명성은 마약 판매를 포함한 불법 활동에 자주 사용된다는 것을 의미한다.
해커들은 훔친 패스워드의 데이터베이스를 구입하여 자격 증명 채우기라고 알려진 꽤 흔한 기술인 하나가 작동할 때까지 다른 웹 사이트를 공격한다. 애틀랜타에 본사를 둔 사이버 보안 회사인 Cyble의 CEOBeenuArora에 따르면 그들은 또한 다른 조합으로 암호를 변경한다. 이러한 암호 중 하나가 은행과 같은 다른 서비스에서 작동하는 경우 어두운 웹에 다시 게시하거나 판매할 수 있습니다.
"그런 일은 많이 일어납니다."하버드 대학의 인터넷과 사회를 위한 버크먼 센터의 사이버 보안 전문가이자 동료인 브루스 슈네이어가 말했다. "대규모 데이터 침해가 발생하면 누군가가 구글의 은행에서 동일한 사용자 이름과 암호를 사용해 볼 것입니다. 그냥 해 보세요. 많은 사람들이 암호를 재사용하기 때문에 운이 좋을 수도 있습니다."
싸이 블레에 따르면, 자격 증명을 채우는 것은 해커들이 어떻게 해서 그들이 그 다음에 어두운 웹에 올린 50만개 이상의 줌 계정에 접근할 수 있었는지에 대한 것으로 보인다. 이에 대해 줌 대변인은 "진행 중인 수사로 인해 자격증 채우기 방식에 의존하는 나쁜 배우들이 나타나고 있다"고 확인했다.
대변인은 성명에서 "소비자에게 서비스를 제공하는 웹 서비스가 이러한 유형의 활동의 표적이 되는 것은 일반적으로 일반적으로 나쁜 행위자들이 이미 손상된 많은 수의 자격 증명을 다른 플랫폼에서 시험해 사용자들이 다른 곳에서 다시 사용했는지 여부를 확인하는 것과 관련이 있다"고 밝혔다.

 

확대/축소 계좌는 개당 겨우 1센트 씩만 사용할 수 있지만, 항상 그렇지는 않습니다. 특히 더 민감하거나 자세한 정보가 유출되는 경우에는 더욱 그렇습니다. 아로라 씨는 특히 금융이나 의료 정보에 접근할 수 있는 비밀 번호들은 한개에 1,000달러까지 팔릴 수 있다고 말했습니다.
전문가들에 따르면 취약성의 주요 원인은 사람들이 여러 계정에서 동일한 암호를 사용하거나 침입 후에도 암호를 변경하지 않는 경향이 있다는 것이다. 마이크로 소프트사는 약 73%의 암호가 중복된 것으로 추정한다.
"가장 취약한 연결 고리는 인간 행동입니다."라고 오바마 행정부의 전 사이버 보안 관리자이자 현재 기업들에게 네트워크 보안을 조언하는 사이버 준비 연구소의 전무 이사인 키에르스텐 토트가 말했다.
Todt는 "우리는 이러한 작업에 많은 기술과 과학이 필요하다고 생각하지만 실제로는 알고리즘에 불과하다"고 덧붙였다.

 

해킹을 당한 적이 있는지 알아보십시오.

무료로 제공되는 어두운 웹 검색 기능을 제공하는 회사들이 있는데, 이 회사들은 당신의 사회 보장 번호, 신용 카드 정보, 전화 번호를 포함한 정보를 당신이 제출할 수 있게 해 준다. 그리고 나서 그 회사들은 당신을 위해 어두운 웹 사이트를 샅샅이 조사하고 그들이 무엇인가를 발견하면 당신에게 알려 줄 것이다.
하지만 이 스캔들도 완벽한 것은 아닙니다. 바이러스 백신 소프트웨어 공급자 노턴의 연구원들은 "회사가 모든 어두운 웹 사이트를 검색할 방법은 없다."고 블로그에 썼다. "검색을 통해 데이터가 노출되었을 때 데이터를 노출시킬 수 있습니다. 하지만 이 모든 것을 찾을 수는 없습니다." 좀 더 많은 시간이 소요되는 과정을 거치고 싶지 않고, 처음에 노출되었을 때 걱정하는 것과 같은 민감한 정보를 제공하고 싶지 않다면, 몇몇 사이트에서 단순히 이메일 주소를 입력하고 그것이 알려진 위반인지 몇초 안에 알려 주는 서비스를 제공합니다.
구글(GOOGL)은 12월에 크롬 브라우저에 사용자 이름과 비밀 번호가 침해되었을 수 있다고 경고하는 새로운 업데이트를 추가했다. Cyble은 Am이라 불리는 웹 사이트인 자체 서비스를 이용한다. IBreached.com에서는 사용자가 전자 메일 ID를 입력하여 손상 여부와 손상 시기를 확인할 수 있습니다. Avast와 같은 다른 바이러스 백신 제공자들도 비슷한 서비스를 가지고 있다. Schneier는 하버드 학생들이 students에서 자세한 내용을 확인하도록 한다고 말했다.

전에 한번도 확인해 본 적이 없다는 것을 알고 호기심이 생겼고, 걱정이 되기도 했습니다. 저는 제 개인 이메일 주소를 몇개의 서비스를 통해 조회했습니다. 내 모든 온라인 생활이 내 눈앞에서 번쩍거렸을 때 불안해 하던 몇초 후, 나는 그 끔찍한 빨간 색의 폭발을 보았고 내가 2017년에 적어도 두번이나 침입당했다는 것을 알았다.
지난 20년 동안 제가 인터넷을 사용해 로그인한 사이트가 몇개나 되는지는 모르겠지만, 제가 알아낸 바로는, 어떤 서비스에서든 잘못된 비밀 번호 하나만 기억하면 됩니다. 알고 보니 범인은 스포티피가 물건이 되기 전에 제가 10대 때 몇달 동안 사용했던 조절된 재생 목록 서비스인 8tracks와 또 다른 인도 여행 예약 웹 사이트인 Yatra.com였습니다.
두 사이트를 마지막으로 사용했던 게 언제였는지 기억이 안 나고, 다행히도 2017년 이후로 비밀 번호를 완전히 바꿨어요.

 

 

자신을 보호하는 방법

계정이 손상되면 암호를 변경하는 것 외에는 할 수 있는 일이 별로 없습니다.
그는 "내 암호가 도용됐다"며"지구상의 모든 범죄자들에게 컴퓨터로 가서 내 이름을 지울 수 있는 방법이 없을까? 아니요,"라고 Schneier는 말했다. "비밀 번호를 변경합니다."암호를 변경합니다."
반면에 침해를 당하지 않은 경우에는 단순히 덜 일반적인 암호를 사용하거나 각 계정에 대해 서로 다른 암호를 사용하여 여러 유형의 공격을 예방할 수 있습니다.
Todt는 "암호"를 사용하면 단일 단어나 단어 조합이 아닌 최소 15자 길이의 전체 문장을 사용할 수 있다고 말한다. 그녀는 스포츠 팀들도 공정한 게임이라고 말했다. 만약 당신이 '내가 가장 좋아하는 스포츠 팀은 샌 프란시스코이다'라는 게임을 사용한다면, 단지'샌 프란시스코의 팀'이 아니라'샌 프란시스코 자이언츠'라는 게임을 사용할 수 있을 것이다.
또한 수십개의 서로 다른 암호를 기억할 수 없거나 기억하고 싶어 하지 않는 사람들을 위해, Todt는 암호를 계속해서 입력할 필요가 없도록 여러개의 암호를 암호화하고 저장할 수 있는 온라인 서비스로, 계정 전체에서 암호가 다시 사용되는 것을 방지할 수 있도록 한다.
그러나 LastPass는 2015년 해커가 전자 메일 주소, 암호 미리 알림 및 암호화된 버전의 암호화된 암호에 액세스 할 수 있게 되면서 침입한 경우도 있습니다.
사용자들은 또한 자신들 사이에 또 다른 장애물을 추가하고 많은 사이트에 로그인함으로써 비밀 번호를 강화할 수 있다. 이중 요소 인증이라고도 하는 다중 요소 인증에는 암호와 함께 추가적인 외부 인증 정보가 필요합니다(예:지문, 자주 변경되는 번호 조합, 전자 메일로 보내거나 문자로 보낼 수 있는 일회용 코드).
Todt는 사용자들이 알고 있는 것보다 해커들을 방지하는 훨씬 더 큰 능력을 가지고 있다고 말한다.
그는 "강력한 인증을 받을 수 있는 능력이 있다는 것을 알게 되면 이는 실제로 권한을 부여하는 원천이 된다"고 말했다. "따라서 대부분의 일반적인 악의적인 공격을 예방하고 방지할 수 있습니다."

 

 

https://edition.cnn.com/2020/05/06/tech/data-breach-passwords-protection/index.html

How your passwords can end up for sale on the dark web