56 מיליון חשבונות חדשים במאגר Have I Been Pwned
אתר Have I Been Pwned (HIBP), הכלי הנפוץ ביותר לבדיקת חשיפת פרטי גישה בעקבות פרצות מידע, הרחיב לאחרונה את מאגרו ב-56 מיליון חשבונות נוספים. המקור: לוגים שנאספו על ידי תוכנות מסוג Infostealer, נוזקות המיועדות לגנוב סיסמאות, עוגיות גלישה ופרטי גישה ישירות ממכשיר הקצה של הקורבן.
מה הם Infostealers ולמה הם מסוכנים במיוחד?
בניגוד לפרצות מסד נתונים קלאסיות, שבהן תוקף פורץ לשרת חיצוני, Infostealers פועלים מהצד של המשתמש עצמו. הנוזקה מותקנת על המחשב האישי או התאגידי, ולאחר מכן שולחת לתוקף את כל פרטי ההתחברות השמורים בדפדפן, את קובצי ה-Session ואת הסיסמאות המקומיות. התוצאה היא לא רק חשיפת חשבון אחד, אלא לעיתים פריצה מלאה לתשתית ארגונית שלמה.
מנסיון העבודה של R.A.S Group עם ארגונים שונים, אנו רואים כי לא מעט פרצות מתגלות בדיעבד דרך מאגרים כמו HIBP, ולא דרך מערכות הניטור הפנימיות. משמעות הדבר היא שחלון החשיפה הפתוח עלול להימשך חודשים לפני שהארגון מזהה את האיום.
כיצד לבדוק אם הפרטים שלכם נחשפו
הבדיקה באתר HIBP פשוטה: מזינים כתובת דואר אלקטרוני, והמאגר מחזיר רשימת אירועי פרצה שבהם אותה כתובת הופיעה. מומלץ לבצע בדיקה זו:
- לכל כתובות הדוא"ל הארגוניות, כולל חשבונות שירות.
- לכתובות אישיות של עובדים בכירים שמחוברים לתשתיות ארגוניות.
- בצורה מחזורית, ולא רק כתגובה לאירוע.
מה עושים אחרי שמגלים חשיפה?
גילוי שפרטים נחשפו הוא נקודת פתיחה, לא נקודת סיום. הצעדים המידיים הנדרשים כוללים איפוס סיסמאות, ביטול סשנים פעילים, ובדיקת לוגי גישה אחורה לאיתור פעילות חשודה. ברמה המערכתית, כדאי לוודא שאימות דו-שלבי מופעל על כל חשבונות הגישה הקריטיים, ושמדיניות ניהול הסיסמאות מונעת שימוש חוזר בפרטי גישה ישנים.
מאגרים כמו HIBP הפכו לכלי עבודה שגרתי בעבור צוותי אבטחת מידע. שילוב בדיקת חשיפה אוטומטית בתהליכי ה-Onboarding וה-Offboarding של עובדים, לצד ניטור שוטף, מאפשר לצמצם משמעותית את חלון הפגיעות שנוזקות מסוג Infostealer מנצלות.