Kata Sandi Teks Biasa dari 8,3 Juta Pengguna Bocor dalam Pelanggaran Data DailyQuiz

Kata Sandi Teks Biasa dari 8,3 Juta Pengguna Bocor dalam Pelanggaran Data DailyQuiz

 

Bacaan Lainnya

Awal tahun ini, seorang penjahat dunia maya mengeksploitasi kerentanan di server DailyQuiz dan mencuri detail pribadi 13 juta pengguna, yang kemudian diusulkan untuk dijual di web gelap dan saluran Telegram.

Menurut The Record, database berisi detail hampir 12,8 juta pengguna, termasuk kata sandi teks biasa, email, dan alamat IP untuk 8,3 juta akun. Itu telah dijual sejak Januari 2021 dengan harga sekitar USD 2000 dalam cryptocurrency tetapi sekarang dapat diakses publik setelah mendarat di tangan seorang peneliti keamanan.

Data yang bocor juga telah diberikan ke Have I Been Pwned, sebuah situs web yang dikelola oleh peneliti keamanan Australia Troy Hunt. Untuk memeriksa apakah detail pribadi pengguna DailyQuiz terungkap dalam pelanggaran keamanan situs, mereka dapat mengunjungi situs web Have I Been Pwned.Saat didekati oleh analis The Record untuk mengomentari pelanggaran keamanan tersebut, DailyQuiz menolak berkomentar. Namun, perusahaan mungkin memiliki beberapa penjelasan yang harus dilakukan, terutama ketika harus menyimpan kata sandi pengguna dalam teks biasa, keamanan besar yang tidak-tidak.

Sayangnya, DailyQuiz bukanlah perusahaan pertama yang melakukan kesalahan dalam menyimpan kata sandi dalam teks biasa; Orang lain yang melakukan kesalahan yang sama juga termasuk orang-orang seperti raksasa media sosial Rusia VK, penyedia email Italia Email.it, layanan perdagangan saham Robinhood, platform Google G Suite, dan bahkan raksasa media sosial Instagram.

Risiko keamanan bagi pengguna DailyQuiz

Pengguna yang paling rentan adalah mereka yang menggunakan kembali nama pengguna, email, dan sandi mereka di situs lain. Mereka harus segera mengubah kata sandi dan juga disarankan untuk memeriksa dan memperbarui semua jenis informasi keuangan yang ditautkan ke situs web ini.

Peneliti keamanan telah menyarankan hal ini karena kelompok penjahat dunia maya mengumpulkan detail pribadi para korban dan menggunakan data tersebut untuk melakukan serangan isian kredensial – di mana mereka memeriksa kombinasi nama pengguna / email dan kata sandi DailyQuiz seseorang di layanan online lain dalam upaya untuk membajak akun lain.

Studi menunjukkan bahwa mayoritas pengguna, dengan beberapa perkiraan setinggi 85%, menggunakan kembali kredensial login yang sama untuk beberapa layanan. Selama praktik ini berlanjut, isian kredensial akan tetap bermanfaat. Serangan isian kredensial dipicu oleh pelanggaran seperti ini, karena memungkinkan penyerang untuk segera menggunakan kata sandi teks biasa, tanpa harus mengeluarkan sumber daya komputasi dan keuangan yang besar untuk memecahkan kata sandi yang di-hash (format di mana sebagian besar kata sandi disimpan).

Pos terkait