你是533米的人中是一个造成杂志的人吗?

2021-04-07 09:56:00

Ne'er-Do-Wells泄露了个人数据 - 包括电话号码 - 本周为35300万个Facebook用户提供了5.53亿。 Facebook表示,在2020年之前收集数据,当它更改了事物以防止从配置文件刮擦此类信息。在我的脑海里,这只是强化了从任何可行的在线账户中删除手机号码的需要。同时,如果您是Facebook产品用户并希望了解您的数据泄露,有简单的方法可以找到答案。

HasibeenPWNED项目收集和分析数百个包含有关数十亿泄露账户信息的数据库转储,已将数据纳入其服务。 Facebook用户可以输入与其帐户关联的手机号码(以国际格式),并查看这些数字是否暴露在新数据转储中(HIBP不会向您显示任何数据,只需为您的数据显示提供“是/否”向上)。

与我迟到的Facebook帐户(我在1月20日删除的电话号码)不在Hasibeenpwned中,但后来Facebook声称有超过27亿的活动月度用户。

从去年夏天至少自上夏天,这数据库似乎一直在以一种形式地踢到网络犯罪地下。根据1月14日,2021年推特邮政从Breach的Alon Gal下,5.33亿的Facebook账户数据库首先于6月2020年举行销售,提供来自100个国家的Facebook个人资料数据,包括名称,手机号码,性别,性别,职业,城市,国家和婚姻状况。

在违规之下也在1月份表示,有人创建了一台电报机器人,允许用户查询数据库的低费用,并使人们能够找到链接到大量Facebook帐户的电话号码。

许多人可能不会认为他们的手机号码是私人信息,但是在知道手机号码时,有一个痛苦的人,迹象和蠕变可以访问你的生活。当然,他们可以打电话给你并骚扰你,但更有可能看看你的其他账户有多少 - 在Facebook,Twitter,Instagram等主要电子邮件提供商和社交网站上,例如, - 依赖于密码重置的数字。

从那里开始,目标是用于SIM交换攻击,其中盗贼技巧或贿赂员工存储在移动电话号码将目标的电话号码的所有权转移到由攻击者控制的移动设备。从那里,坏人可以重置移动号码所界面的任何帐户的密码,并且当然拦截发送到该号码的任何一次性令牌,以便多因素身份验证的目的。

或者攻击者利用一些其他隐私和安全皱纹,即SMS短信被处理。上个月,安全研究人员展示了滥用服务,旨在帮助名人管理他们的社交媒体简介的滥用服务,以拦截任何移动用户的SMS消息。这种弱点已经据说已经为所有主要的无线运营商修补,但它确实会质疑依赖互联网相当于明信片(SMS)的持续理智,以安全地处理非常敏感的信息。

我的建议长期以来一直删除在线账户中的电话号码,无论何处,都可以避免选择SMS或电话给第二因子或一次性代码。电话号码从未被设计为身份文件,但这有效地是他们成为的东西。是时候我们停止让每个人都这样对待他们了。

您的价值的任何在线帐户都应该以独特而强的密码安全,以及可用的多因素身份验证的最强大形式。通常,这是一个类似的移动应用程序,如Authy或Google身份验证程序,可以生成一次性代码。像Twitter和Facebook这样的一些网站现在支持更强大的选项 - 例如物理安全密钥。

删除您的电话号码对于您可能拥有的任何电子邮件帐户也可能更为重要。在线使用任何服务,几乎肯定需要您提供电子邮件地址。在几乎所有情况下,通过控制该地址的人可以通过请求密码重置电子邮件来重置任何相关服务或帐户的密码。

不幸的是,许多电子邮件提供商仍然让用户通过将通过文本发送到帐户的文件上的电话号码来重置他们的帐户密码。因此,将电话号码删除为电子邮件帐户的备份,并确保为所有可用的帐户恢复选项选择更强大的第二个因素。

以下是:大多数在线服务都要求用户在设置帐户时提供手机号码,但在建立之后不需要该号码保持与帐户相关联。我建议读者在尽可能使用账户中从帐户中删除他们的电话号码,并利用移动应用程序来为多因素身份验证生成任何一次性代码。

为什么克雷斯的安全去年初删除了它的Facebook账户?当然,由于Facebook多年来,它可能与Facebook的不断违反,泄漏和隐私背叛流有关。但是,真正困扰着我是那些在Facebook Messenger这样的事情上感到舒适地分享了非常敏感的信息的人,一切都希望我能凭借我在平台上的存在而担任该信息的隐私和安全性。

如果读者希望出于任何原因与联系方式,我的电子邮件是Gmail Dot Com的克鲁斯的安全性,或ProtonMail.com的克鲁斯的安全。我还在加密的消息平台Wickr上的Krebswickr回复。

我想知道我是否发布了转发到我的牢房的Google语音号码。黑客不知道我的牢房。但任何想打电话给我的人仍然可以。你怎么看待这位布莱恩?

你不在那里并不奇怪。来自美国只有3200万账户在这场倾销中,总数为1.9亿。看着账户作为国家群体的比例,它看起来偷了这个数据可能是埃及人。

现在我有挑选身份员的问题。这项任务已经超越了一年多。我得扣,思考它通过,写一个计划,然后逐步搬出来。

对于桌面,我推荐KeepAss。除了公共存储,管理和生成强静态密码之外......条目还可以存储TOTP种子/秘密,并生成您将从Google Authenticator获得的相同的一次性键(OTP)代码。

Yubikey将是最好的,但许多网站/服务在线不做Fido2 / U2F身份验证。如果你很幸运,他们会做Totp。当然,对于良好的分层安全性......您可以使用yubikey作为第二因素来加密桌面和移动的KeePass数据库。 Android上的YubiCo验证器应用程序也可以存储TOTP代码。

我不喜欢将2FA代码保持在与密码相同的位置,因为有明显的原因。更好地运行像Authy或使用yubikey的单独应用程序。

我被典当网站已经存在了很长时间。它值得更好地识别它目前得到的(我认为这是不是,我认为)。

你太悲观了。我被认为有一个巨大的认可。事实上,它与世界各地的许多政府有协议,其网络安全部门正式推荐。特洛伊亨特的努力确实来了解。

我真的很喜欢这个网站现在是移动的。更容易阅读🙂

奇怪的是,几天前我在尝试设置SIM卡时禁用了我的SIM卡,然后在verizon商店,一名员工坚持认为他们没有建议这样做,因为它是频繁的问题,它是不是甚至需要,因为他们需要一个ID来交换SIM卡。伟大的。

SIM SWAP保护仍然与运营商系统内部的合规机制一样好。

许多地方“要求”一个引脚或照片ID ......但当然,一个主管可以绕过这一点。所以,而不是安全保护你的电话号码从依靠柜台后面的少年依靠少年,现在它依赖于后面的23岁。

贿赂员工已经更加努力,但仍然是SIM Swapper的简单路径。

谢谢布莱恩,你所做的一切!根据您的电子邮件,我已查明从在线帐户中删除我的手机号码,但它看起来很多银行等。没有提供2因素Auth的选项。除了向一个人的小区发送短信消息。我错过了什么?是否有另一种方法来获得双因素auth。在一个帐户(例如银行网站),如果提供商没有注意任何特定的Auth。可用的应用程序,但在设置2因素时,只需提示单元格号?谢谢

根据您的电子邮件,我已查明从在线帐户中删除我的手机号码,但它看起来很多银行等。没有提供2因素Auth的选项。除了向一个人的小区发送短信消息。我错过了什么?是否有另一种方法来获得双因素auth。在一个帐户(例如银行网站),如果提供商没有注意任何特定的Auth。可用的应用程序,但在设置2因素时,只需提示单元格号?谢谢

我的银行忽略了我的建议来使用安全键。如果没有需要安装任何S / W的银行,我可以在桌面上使用Google身份验证器吗?

对于桌面,我推荐KeepAss。除了公共存储,管理和生成强静态密码之外......条目还可以存储TOTP种子/秘密,并生成您将从Google Authenticator获得的相同的一次性键(OTP)代码。

我的建议是人们应该完全停止使用Facebook,因为马克Zuckerburg并不关心它的用户群。

@chrissuperpogi在这里是:我被Pwned(正确的拼写)由Troy Hunt Troyhunt.com创建并来自澳大利亚。至于假手册 - 我留下了2012年,没有遗憾,因为他们不会让我使用我的假名。此外,我听说他们正在使用我的货币收益数据,我想要一个削减,但我知道这将是不可能的。快进到现在的一天和众多数据突破后(8个计数) - 仍然没有遗憾。不是Instagram的粉丝。非常感谢布莱恩......我很久以前就读了你的网站。保持你的优秀工作。

我7岁以上的一封电子邮件从偶然,铁饼和机制中陷入困境。之后是那个我现在使用的那个明确了

奇怪的是我从来没有使用过Typeryfly,所以我不知道那个在Hibp上有一个积极的问题 但前两种都在Facebook上使用。 我在2016年使用了FB账户杀戮功能,因此可能会删除数据? 但我在2015年在2015年测试了这个问题之前,我曾经用过的数据杀死年份,只发现账户还在等待我,所以我从不确定这一点