เป็นเรื่องน่าทึ่งที่ผู้คนมีความคิดสร้างสรรค์สามารถรับข้อมูลที่ถูกละเมิดได้อย่างไร แน่นอนว่ามีสิ่งน่ารังเกียจทั้งหมด (ฟิชชิง การโจรกรรมข้อมูลประจำตัว สแปม) แต่ก็ยังมีการใช้งานในเชิงบวกอย่างน่าทึ่งสำหรับข้อมูลที่ลักลอบนำมาจากระบบของผู้อื่นอย่างผิดกฎหมาย เมื่อฉันสร้าง Have I been Pwned (HIBP) ครั้งแรก มนต์ของฉันคือ “ทำสิ่งดีหลังจากสิ่งเลวร้ายเกิดขึ้น” และโดยส่วนใหญ่แล้ว มันสามารถช่วยให้บุคคลและองค์กรสามารถเรียนรู้เกี่ยวกับการเปิดเผยส่วนบุคคลในการละเมิด อย่างไรก็ตาม กรณีการใช้งานนั้นไปไกลกว่านั้น และมีอยู่กรณีหนึ่งที่ฉันตั้งใจจะเขียนเกี่ยวกับเรื่องนี้มาระยะหนึ่งแล้วหลังจากได้ยินเกี่ยวกับเรื่องนี้โดยตรง สำหรับตอนนี้ ขอเรียกวิธีการนี้ว่า “Pwned หรือ Bot” แล้วฉันจะจัดฉากด้วยภูมิหลังของปัญหาอื่น: การซุ่มยิง
ลองนึกถึงไมลีย์ ไซรัสในบทแฮนนาห์ มอนทานา (อดทนหน่อย ฉันจะไปที่ไหนสักแห่งกับสิ่งนี้จริงๆ!) การแสดงที่ผู้คนจะซื้อตั๋วเข้าชม เรากำลังพูดถึง ตั๋ว จำนวนมากเมื่อย้อนกลับไปในวันนั้น ความนิยมของเธอไม่อยู่ในชาร์ตด้วยอุปสงค์ที่ล้นเกินอุปทาน ซึ่งสำหรับบุคคลที่กล้าได้กล้าเสีย ได้เสนอโอกาส :
Ticketmaster ผู้จำหน่ายตั๋วพิเศษสำหรับทัวร์ ขายการแสดงหลายรายการหมดภายในไม่กี่นาที ทำให้แฟน ๆ ของ Hannah Montana หลายคนต้องหนาวสั่น ถึงกระนั้น บ่อยครั้งหลังจากการแสดงวางขาย ตลาดรองก็มีตั๋วเข้าชมการแสดงเหล่านั้นมากมาย ตั๋วซึ่งมีมูลค่าหน้าตั๋วอยู่ระหว่าง $21 ถึง $66 ถูกขายต่อบน StubHub ในราคาเฉลี่ย $258 บวกกับค่าคอมมิชชันของ StubHub 25% (ผู้ซื้อจ่าย 10% ผู้ขาย 15%)
สิ่งนี้เรียกว่า “sniping” ซึ่งแต่ละคนจะข้ามคิวและซื้อผลิตภัณฑ์ในปริมาณที่จำกัดเพื่อผลประโยชน์ส่วนตนและส่งผลเสียต่อผู้อื่น ตั๋วเข้าชมงานบันเทิงเป็นตัวอย่างหนึ่งของการฉ้อฉล สิ่งเดียวกันนี้เกิดขึ้นเมื่อผลิตภัณฑ์อื่นๆ เปิดตัวโดยมีสินค้าไม่เพียงพอต่อความต้องการ เช่น รองเท้าไนกี้ สิ่งเหล่านี้สามารถได้รับความนิยม อย่าง มากและเทียบเท่ากับบล็อกนี้ที่ปล่อยออกมาในระยะเวลาอันสั้น สิ่งนี้สร้างตลาดสำหรับนักแม่นปืน ซึ่งบางคนแบ่งปันฝีมือของตนผ่านวิดีโอ เช่น วิดีโอนี้:
“BOTTER BOY NOVA” อ้างถึงตัวเองว่าเป็น “Sneaker botter” ในวิดีโอและสาธิตเครื่องมือที่เรียกว่า “Better Nike Bot” (BnB) ซึ่งขายในราคา 200 ดอลลาร์บวกค่าธรรมเนียมการต่ออายุ 60 ดอลลาร์ทุกๆ 6 เดือน แต่ไม่ต้องห่วงเขามีโค้ดส่วนลดให้! ดูเหมือนว่าแฮ็กเกอร์จะไม่ใช่คนเดียวที่ทำเงินจากความโชคร้ายของผู้อื่น
ดูวิดีโอและดูว่าในนาทีที่ 4:20 เขาพูดถึงการใช้พร็อกซี “เพื่อป้องกันไม่ให้ Nike ตั้งค่าสถานะบัญชีของคุณ” อย่างไร เขาแนะนำให้ใช้จำนวนผู้รับมอบฉันทะเท่ากันกับบัญชีของคุณ หลีกเลี่ยงไม่ได้ที่ Nike (อัตโนมัติ) จะสงสัยเกี่ยวกับความผิดปกติของที่อยู่ IP เดียวที่ลงชื่อสมัครใช้หลายครั้ง ผู้รับมอบฉันทะเองเป็นองค์กรการค้า แต่ไม่ต้องกังวล BOTTER BOY NOVA มีรหัสส่วนลดสำหรับพวกเขาด้วย!
วิดีโอยังคงสาธิตวิธีการกำหนดค่าเครื่องมือเพื่อทำลายบริการของ Nike ในท้ายที่สุดด้วยความพยายามที่จะซื้อรองเท้า แต่ที่เครื่องหมาย 8:40 นั้นเราได้รับจุดที่ฉันจะทำสิ่งนี้:
เมื่อใช้เครื่องมือนี้ เขาได้สร้างบัญชีจำนวนมากเพื่อพยายามเพิ่มโอกาสในการซื้อที่ประสบความสำเร็จให้สูงสุด เห็นได้ชัดว่านี่เป็นเพียงตัวอย่างในแคปหน้าจอด้านบน แต่แน่นอนว่าเขามักจะไปลงทะเบียนที่อยู่อีเมลใหม่จำนวนมากที่เขาสามารถใช้เพื่อจุดประสงค์นี้โดยเฉพาะ
ทีนี้ลองคิดจากมุมมองของ Nike: พวกเขาได้เปิดตัวรองเท้าใหม่และเห็นการลงทะเบียนและความพยายามซื้อใหม่จำนวนมาก ในบรรดาล็อตนั้นมีคนจริงใจมากมาย… และผู้ชายคนนี้ 👆 พวกเขาจะกำจัดเขาได้อย่างไร โดยที่สไนเปอร์จะไม่ฉกฉวยผลิตภัณฑ์โดยที่ลูกค้าของแท้ต้องเสียเงิน? โปรดทราบว่าเครื่องมือเช่นนี้ได้รับการออกแบบโดยจงใจเพื่อหลีกเลี่ยงการตรวจจับ (จำพร็อกซีได้ไหม) เป็นเรื่องยากที่จะแยกมนุษย์ออกจากบอทได้อย่างน่าเชื่อถือ แต่มีตัวบ่งชี้ที่ง่ายต่อการตรวจสอบข้าม และนั่นคือการเกิดขึ้นของที่อยู่อีเมลในการละเมิดข้อมูลครั้งก่อน ให้ฉันพูดด้วยคำง่ายๆ:
เราทุกคนถูก pwned อย่างครอบคลุมจนถ้าที่อยู่อีเมล ไม่ถูก pwned ก็มีโอกาสที่ดีที่จะไม่ได้เป็นของมนุษย์จริงๆ
ดังนั้น “Pwned หรือ Bot” และนี่คือวิธีการที่องค์กรใช้ข้อมูล HIBP อย่างแม่นยำ ด้วยคำเตือน:
หากไม่เคยพบที่อยู่อีเมลในการละเมิดข้อมูลมาก่อน อาจเป็นที่อยู่อีเมลที่สร้างขึ้นใหม่โดยเฉพาะเพื่อวัตถุประสงค์ในการเล่นเกมระบบของคุณ นอกจากนี้ยังอาจถูกต้องตามกฎหมายและเจ้าของเพิ่งโชคดีที่ไม่ถูกขโมย หรืออาจเป็นไปได้ว่าพวกเขากำลังใส่ที่อยู่ย่อยในที่อยู่อีเมลของตนโดยไม่ซ้ำ กัน ( แม้ว่าจะพบได้น้อยมาก ) หรือแม้กระทั่งใช้บริการ ที่ อยู่อีเมลปลอม เช่น 1รหัสผ่านให้ผ่าน Fastmail การไม่มีที่อยู่อีเมลใน HIBP ไม่ใช่หลักฐานของการฉ้อโกงที่อาจเกิดขึ้น นั่นเป็นเพียงคำอธิบายเดียวที่เป็นไปได้
อย่างไรก็ตาม หาก เคย พบที่อยู่อีเมลในการละเมิดข้อมูลมาก่อน เราสามารถพูดได้อย่างมั่นใจว่ามีอยู่จริงในขณะที่เกิดการละเมิดนั้น ตัวอย่างเช่น หากเกิดจากการละเมิดของ LinkedIn ในปี 2012 คุณสามารถสรุปได้อย่างมั่นใจอย่างยิ่งว่าที่อยู่ดังกล่าวไม่ได้ตั้งขึ้นเพื่อเล่นเกมในระบบของคุณเท่านั้น การละเมิดสร้าง ประวัติศาสตร์ และไม่น่าพอใจพอๆ กับที่พวกเขาเป็นส่วนหนึ่ง แต่แท้จริงแล้วมีจุดประสงค์ที่เป็นประโยชน์ในฐานะนี้
คิดว่าประวัติการละเมิดไม่ได้เป็นข้อเสนอไบนารีที่ระบุความถูกต้องของที่อยู่อีเมล แต่เป็นหนึ่งในการประเมินความเสี่ยงและพิจารณาว่า “pwned หรือ bot” เป็นหนึ่งในหลายปัจจัย ภาพประกอบที่ดีที่สุดที่ฉันสามารถให้ได้คือวิธีที่ Stripe กำหนดความเสี่ยงโดยการประเมินปัจจัยการฉ้อโกงมากมาย รับการชำระเงินล่าสุด สำหรับรหัส API ของ HIBP :
มี หลายสิ่ง เกิดขึ้นที่นี่และฉันจะไม่อธิบายทั้งหมด สิ่งสำคัญที่ควรหลีกเลี่ยงจากสิ่งนี้คือในระดับการประเมินความเสี่ยงตั้งแต่ 0 ถึง 100 ธุรกรรมนี้ได้รับการจัดอันดับที่ 77 ซึ่งทำให้อยู่ใน “สูงสุด ความเสี่ยง” วงเล็บ ทำไม ลองเลือกเหตุผลที่ชัดเจนสองสามข้อ:
- ก่อนหน้านี้ที่อยู่ IP ได้แจ้งเตือนการฉ้อโกงล่วงหน้า
- อีเมลดังกล่าวเคยปรากฏบน Stripe เพียงครั้งเดียว และนั่นเป็นเพียง 3 นาทีที่แล้ว
- ชื่อลูกค้าไม่ตรงกับที่อยู่อีเมลของพวกเขา
- มีเพียง 76% ของการทำธุรกรรมจากที่อยู่ IP เท่านั้นที่ได้รับอนุญาตก่อนหน้านี้
- อุปกรณ์ของลูกค้าเคยมีการ์ดอีก 2 ใบที่เชื่อมโยงอยู่ก่อนหน้านี้
ปัจจัยการฉ้อฉลเหล่านี้อาจไม่เพียงพอต่อการปิดกั้นธุรกรรม แต่ทั้งหมดรวมกันแล้วทำให้สิ่งทั้งหมดดูค่อนข้างคาว เช่นเดียวกับปัจจัยเสี่ยงที่ทำให้มันดูคาว:
การใช้ “Pwned หรือ Bot” กับการประเมินความเสี่ยงของคุณเองนั้นง่ายมากด้วย HIBP API และหวังว่าแนวทางนี้จะช่วยให้ผู้คนจำนวนมากขึ้นทำในสิ่งที่ HIBP มีไว้ตั้งแต่แรก: เพื่อช่วย “ทำสิ่งที่ดีหลังจากสิ่งเลวร้ายเกิดขึ้น” .