Python conf in Kharkiv, Nov 16 with Intel, Elastic engineering leaders. Prices go up 21.10

Dark web damage control tips

Не секрет что практически у всех тут имейлы слиты с паролями и инфой в те или иные базы в даркнете

Иногда и ссны

Я вот сегодня зашел в репорт в которых банки нашару для клиентов мониторят имейл и ссн, имейл был слит раз 20 с паролями, иногда с фио и др

Кто как проводит демедж контроль, закрывает такие имейлы?

Вот пример репорта:
Ваш имейл xyz@xyz.xyz был наден в дарк вебе в одной из баз, источник утечки — Адоби
Пароль к акаунту присутствует — да
Дополнительно инфа есть? да — фио и др

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

LastPass с генерацией отдельного пароля под каждый ресурс + МФА где есть или вход под гугл акком. Так как почта гмейловая, то защищена еще и списком доверенных устройств

Где посмотреть?

в сша большинство банков нашару клиентам мониторит

Я зарегал домен, скажем, vpupkinanonimus.com и поставил на нем catch-all email redirect. Теперь если надо зарегаться на сайте stremnieeblani.com даю им имеил stremnieeblani@vpupkinanonimus.com

Пароль генерируется пасворд менеджером.

Очень занимательно смотреть на дарквебе кто что слил и кого куда хакнули. Намного проще, чем при помощи пароля, т.к. пароль не всегда сливается клиартекстом. Ещё забавно смотреть когда на stremnieeblani@vpupkinanonimus.com приходит что нибудь что должно было бы быть адресовано на tupiespameri@vpupkinanonimus.com — короче имейлы шарят направо и налево все кому не лень.

хм, крутая идея с кетч олл и левыми мылами, попробую такой хак

а есть такое решение изкоробки ? Если нет — отличная идея для стартапу.

Хороший вопрос. В моем случае используется анонимная регистрация домена на godaddy и grandfathered GSuite + набор фильтров для имейлов. Такого чтобы все из коробки не видел.

не думаю что есть такое, но это реально не сложно сделать, это из коробки идет у регистраторов\хостеров для клиентов, навесить интерфейс сделав доступным без менеджмента домена — по факту урезав функционал, а не добавив — не сильно сложная задача

можна спробувати обійтись суфіксами для емейлів, але треба вияснити, чи підтримує це провайдер — скажем, gmail підтримує

наприклад, якщо емейл юзера user@gmail.com, то реєструватись можна на user+stremnieeblani@gmail.com або user+tupiespameri@gmail.com — мила на ці адреси мають падати на ящик user@gmail.com

на большей части сайтов рега с + не работает, с точками работает

Менеджер паролей. Мне нравится 1Password: генерация уникальных длинных паролей для каждого account-а, есть интеграция с haveibeenpwned.com — оповещение об утечках. Если что-то утекло, то меняю пароль.

Двухфакторная аутентификация, включаю везде где есть. Технологии по мере предпочтения: U2F (использую Yubikey), OTP (1Password, Google Authenticator, Okta), SMS/call.

’;—have i been pwned?

Нет. Но спасибо за адрес почты — скоро нагнём.

Иногда и ссны

ШТА?

Эта болезнь передаётся вирусно-капельным путем?

SSN — вважається сенситивною інфою

Намёк на пупоцентризм автора. Как когда-то был (а в украинской рекламе до сих пор есть) дефолт сити, так у автора дефолт кантри.

(а в украинской рекламе до сих пор есть) дефолт сити

Это когда мне в луганской области показывается реклама киевского аквапарка?

А ты хотел что бы я переживал о секретности инн?) Нет, это моветон

1. Использую уникальные пароли там где требуется завести эккаунт. Чем стремней сайт, тем рандомней пароль. Если эккаунт утек, можно определить откуда именно.
2. Обязательно 2FA там где поддержан.
3. Эккаунты не закрываю и не советую, если ты закрыл эккаунт, то ты им больше не владеешь, ничего не мешает Васе, злобному хаккеру из Нигерии открыть точно такой же и попробовать заимперсонейтить тебя или найти что-то полезное в спаме который на твой бывший эккаунт будет приходить.

согласен — тоже об этом думал — закрывать имейл — это самое плохое что можно сделать, по истечению грейс периода — любой сможет открыть мыло с тем же названием

Я не закрываю. Откуда у банка будет пароль на мой емейл?

Вот пример
Ваш имейл xyz@xyz.xyz был наден в дарк вебе в одной из баз, источник утечки — Адоби
Пароль к акаунту присутствует — да
Дополнительно инфа есть? да — фио и др

Тоесть по факту не пароль к самому имейлу но пароли к акаунтам которые заведены на имейл

а смысл? ну сольют через месяц другой еще раз. надо просто максимально усложнить логин через m-f auth:
— подтверждение по мобильному(так же отлично компрометируется)
— вайтлист на устройсва/ип
— хардвар/биометрия
я уже ранее писал, что при желании в даркнете на каждого можно найти все, начиная от сканов документов и заканчивая выпиской с локацией/таймингами посещения атм.

О, так вот где надо справки доставать. А не в очередях стоять в гос.учереждениях

Ну можна ж міняти паролі частіше, ввімкнути двох факторну авторизацію, налаштувати свій особистий поштовий сервер і ходити на нього лише по ssh.

Що можна зробити маючи ссн?

Що можна зробити маючи ссн?

Заплатить налоги %) за того парня.

А вообще много чего можно сделать, только оно всплывет быстро. Проще провернуть махинации в черную, чем кого то поставлять. Наркоту могут официально выписывать и т.п.

Заплатить налоги %)

знакомый по работе столкнулся с этим, за него зафайлили возврат налогов.

Хоть правильно зафайлили то?)

Подписаться на комментарии