Politiets telefonsporingsfirma er hacket, passord lekket takket være svak hashing

Kvantekryptering er i ferd med å endre alt Kvanteberegning kan knekke moderne kryptering, men kan også lage nesten uknuselige nye personvernprotokoller.

Securus, et selskap som leverer sporingsverktøy for smarttelefoner for amerikansk rettshåndhevelse, er angivelig blitt hacket, og angripere får tilgang til 2800 dataopplysninger inkludert påloggingsinformasjon, ifølge en hovedkortrapport.

Ifølge New York Times kan Securus "finne oppholdsstedet for nesten hvilken som helst mobiltelefon i landet i løpet av sekunder." Det gjør dette ved å innhente data som vanligvis søkes av markedsførere fra transportører som Verizon, AT&T og Sprint. Tjenesten ble opprinnelig ment for å spore samtaler til innsatte i fengsel, men kan også brukes til å spore savnede og mer.

Etter å ha brutt Securus ga en ikke navngitt hacker hovedkortet et regneark med tittelen "Police" som inkluderte 2800 "brukernavn, e-postadresser, telefonnumre og hashede passord og sikkerhetsspørsmål til Securus-brukere, " i 2011-2018, heter det i rapporten. Data om ansatte i Securus var til stede i arket, sammen med data om rettshåndhevelse og myndighetsbrukere fra byer inkludert Minneapolis, Phoenix og Indianapolis.

Passordene ble hashet, men de ble hashet ved hjelp av MD5-algoritmen, opplyser rapporten, som gir en 128-bit hashverdi. Imidlertid har MD5 blitt kalt "dødelig svak", og selskaper som Microsoft eliminerte bruken av det for år siden.

Å bruke kryptografisk hashing på lagrede passord regnes som en beste praksis for bedriftssikkerhet. Imidlertid er algoritmer som PBKDF2, bcrypt eller scrypt vanligvis foreslått som noen av de sterkeste. Noen i sikkerhetssamfunnet har gått så langt som å si at MD5 aldri burde brukes til hasjpassord.

Noen av dataene som ble gitt til hovedkortet hadde passord for klartekst, men det er uklart om de ble sprukket av hackeren eller bare lagret på den måten av Securus, heter det i rapporten. Hovedkort verifiserte dataene, heter det i rapporten. (TechRepublic bekreftet ikke dataene uavhengig.)

I det minste er dette et eksempel på at et selskap er altfor uforsiktig med sensitive data. Andre selskaper bør lære av Securus og implementere sterkere hashingsalgoritmer for å bedre beskytte sensitive personopplysninger. Innsatsen for å gjøre det er allerede høye, men vil bli enda høyere etter hvert som nye forskrifter som GDPR trer i kraft.

De store takeawayene for teknologiledere:
  • Securus, et selskap som sporer anløp i sanntid for politiet, er angivelig blitt hacket, med 2800 legitimasjon utsatt.
  • Securus har passet passordene sine med MD5-algoritmen, noe som gjør dem lettere å dekryptere av hackere.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | mobilegn.com