Frage:
Was ist der einfachste Weg, um riesige, durchgesickerte Datenbanken nach Personen und persönlichen Informationen zu durchsuchen?
RLH
2013-03-28 16:28:39 UTC
view on stackexchange narkive permalink

Dies mag wie eine ziemlich schändliche Frage erscheinen, aber meine Motive sind genau das Gegenteil - ich möchte wissen, wie gefährdet ich sein könnte!

Vor einiger Zeit ist eine sehr MASSIVE Datenbank durchgesickert enthielt die persönlichen Informationen von Millionen von Menschen. Leider würde ich meine Chancen, in dieser Datenbank zu sein, auf etwa 80-90% festlegen. Dies bedeutet, dass das Herumschweben im dunklen Internet für ein Kind ausreichen könnte, um eine Kreditkarte in meinem Namen zu öffnen und mein Leben zu zerstören.

Die Institution, aus der diese Informationen durchgesickert sind, musste Geben Sie allen möglicherweise betroffenen Personen 1 Jahr lang kostenlose Kreditüberwachung. Danach müssen sich die Millionen von uns, die verwundbar waren, selbst überwachen und auf das Beste "hoffen".

Ich vertraue keiner blinden Hoffnung.

Ich stelle mir vor, dass diese Daten, als sie durchgesickert sind, auf alle "typischen" dunklen Webquellen übertragen wurden. Was ist der beste Weg für einen Nicht-Hacker, Entwickler oder technisch versierten "Power User", um durchgesickerte Daten zu suchen und zu entdecken, damit er überprüfen kann, ob er durch ein bestimmtes Leck anfällig ist?

Ja, ich könnte lügen und nach einem schnellen Weg suchen, um 100 SSNs zu finden. Ich denke jedoch nicht, dass dies eine gute Ausrede ist, um diese Informationen zu verbergen und keine klare Antwort zu erhalten. Wenn die Informationen da draußen sind, sind sie da draußen und wir können nichts tun, um die Verbreitung der Informationen zu stoppen. Ich kann jedoch mein persönliches Bestes tun, um so weit wie möglich über den Stand meines Kreditrisikos und die aktuelle Verwundbarkeit informiert zu werden. Das ist alles, was ich mir erhoffe.

Was halten Sie von den legal gesicherten Benutzerdaten von über 80% des Internets, die von Websites wie Facebook und Google gespeichert werden?
Ich bin mir nicht sicher, was ich dazu sagen soll. Ja, ich bin mir des Problems bewusst. Ich versuche jedoch, mich so gut wie möglich vor diesen Kanälen zu schützen, aber meine Frage würde immer noch zutreffen, wenn ich diese Dienste nutzen würde und ihre Daten durchgesickert wären. Ich weiß, was ich auf welche Websites gestellt habe. Was ich nicht weiß, ist, was andere über mich gesammelt haben (nicht einmal auf eigenen Wunsch) und was jemand anderes entdeckt hat. Wenn sie diese Daten öffentlich veröffentlicht haben, wie kann ich sie wiederfinden, vorausgesetzt, der Verstoß war groß genug, um nationale oder sogar globale Aufmerksamkeit zu erregen.
Ich habe auf Ihre Kommentare als separate Antwort geantwortet.
Wenn Sie sich auf haveibeenpwned.com registrieren, erhalten Sie zumindest eine Benachrichtigung, wenn Ihre E-Mail-Adresse in einem Verstoß angezeigt wird.
Fünf antworten:
#1
+31
Brian Adkins
2013-03-28 17:05:11 UTC
view on stackexchange narkive permalink

Folgendes mache ich ...

Ich gehe davon aus, dass meine Daten da draußen sind ... Ich mache mir nicht die Mühe, danach zu suchen. Irgendwann wird jemand auf meine SSN stoßen und sie wird in eine Datenbank aufgenommen und auf der ganzen Welt verkauft.

Für mich hat die Suche nach meinen Daten wenig Wert und bringt das Pferd mit Sicherheit nicht zurück in den Stall. Selbst wenn ich nach meinen SSN- oder Kreditkartennummern suche, können diese offengelegt werden.

Ich lebe in den USA und habe unsere 6 Kreditauskünfte (3 für mich und 3 für meine Frau) eingefroren. Dies geschieht auf den Websites der drei großen Kreditbüros.

Wenn ich eine neue Kreditlinie benötige (Darlehen, Karte usw.), taue ich die Berichte vorübergehend auf und sie frieren nach etwa einer Woche automatisch wieder ein (habe dies nur getan, um mein Haus zu refinanzieren). . Dieser Einfrier- und Auftauprozess dauert online etwa 15 Minuten und hat mich nie einen Cent gekostet.

http://www.clarkhoward.com/news/clark-howard/personal-finance-credit/credit-freeze-and-thaw-guide/nFbL/

Wow, gute Antwort. Möglicherweise erhalten Sie das Antwortzeichen. Trotzdem interessiere ich mich für andere Meinungen und Gedanken zu diesem Thema.
+1 für _ "Wenn Sie nach meinen SSN- oder Kreditkartennummern suchen, werden diese möglicherweise angezeigt" _. Sehr richtig.
Heiliger Mist, ich wusste nicht einmal von diesem eiskalten Zeug. Kann ich +10 geben?
Eine Frage: Wie könnte die Suche nach meinen SSN / CC-Informationen sie aufdecken?
@FixedPoint Ein grundlegendes Beispiel ist, dass Google alles verfolgt, was Nutzer als Suche eingeben. Wenn Sie also nach Ihrer SSN suchen, befindet es sich irgendwo in einer Google-Datenbank als Suchbegriff.
@FixedPoint, wäre ein anderer Weg, wenn Sie eine "durchsuchbare Datenbank" gefunden und versucht hätten, Ihre SSN darin zu finden. Nur dass es sich nicht um eine Datenbank handelt, sondern nur um ein Formular, das eine Suche vortäuscht, "Nicht gefunden!" Zurückgibt und die SSN heimlich an ihre Ersteller weiterleitet. Eine ähnliche Operation wird hier gemeldet: http://www.lifelock.com/education/articles/id-theft/fake-id/
#2
+9
LSerni
2013-03-28 17:12:56 UTC
view on stackexchange narkive permalink

Leider glaube ich nicht, dass diese Art von Forschung Ihnen viel Gutes tun wird. Sofern Sie nicht selbst eine Kopie der durchgesickerten Datenbank beschlagnahmt haben und nach der Suche bestätigt haben, dass nicht vorhanden ist. An diesem Punkt sind Sie sicher - gegen diese eine Datenbank.

Aber dies ist ein riskantes Geschäft: Das Abrufen der Datenbank wäre illegal und sogar das Suchen könnte dich in eine Welt voller Verletzungen bringen. Sie könnten wahrscheinlich auch die gleichen Ergebnisse erzielen, indem Sie die Kreditüberwachung bei der zuständigen Institution anfordern und hoffen, "Entschuldigung, Sir: Sie sind nicht zur Überwachung berechtigt, da Ihre Daten nicht zu den durchgesickerten gehören". Wenn Sie ihnen vertrauen, bedeutet dies :-)

Andernfalls würde jede indirekte (und immer noch gefährliche) Suche, die Sie durchgeführt haben, entweder bestätigen, dass Sie in Gefahr sind, oder wäre tatsächlich nutzlos - weil Sie es nicht konnten Stellen Sie sicher, ob die Suche Ihre Daten gefunden hätte und aufgrund ihres Fehlers nicht vorhanden ist oder ob Ihre Daten tatsächlich vorhanden sind und die Suche sie nicht erfolgreich verwurzelt hat .

Wenn es sinnvoll ist, diese Informationen weniger nützlich zu machen (Kennwörter ändern, Ersatzkarten / Token / PINs anfordern), sollten Sie dies bereits getan haben.

In einigen Ländern ist es möglich, Ihre Kreditsituation zu "sperren", dh Sie fordern einen Zugangscode an (das erste Mal ist es ziemlich umständlich, Ihre Identität muss überprüft werden usw.), und dann erklären Sie, dass Sie es von nun an sind nicht Kredite, Kreditkarten usw.; Jeder Versuch, dies ohne die entsprechende Berechtigung von Credit Central in Ihrem Namen zu tun, wird automatisch als Betrüger identifiziert.

Schätzen Sie die Antwort. In meinem Fall handelte es sich bei den Daten, gegen die verstoßen wurde, um Daten, die Sie nicht ändern können. Einmal gegeben, bleiben Sie ein Leben lang dabei. Ich schwöre, manchmal habe ich das Gefühl, dass gesellschaftliches Vertrauen mit Klebeband zusammengeschustert wird ...
#3
+3
Saladin
2013-03-29 16:52:39 UTC
view on stackexchange narkive permalink

Obwohl nicht direkt verwandt, aber sehr relevant für die von Ihnen gestellten Fragen, möchte ich Ihre Mitteilung "csi / fbi Umfrage" einbringen, die von CSI in Zusammenarbeit mit dem San Francisco Federal Bureau of durchgeführt wurde Das Computer Intrusion Squad von Investigation und Forscher der Robert H. Smith School of Business an der University of Maryland.

Die Umfrage hat möglicherweise den größten Fußabdruck seit fünfzehn Jahren und erreicht nahezu alle Bereiche der Informationsnutzung. Einschließlich Beratung, Finanzdienstleistungen, Bildung, Bundesregierung, Kommunalverwaltung, Informationstechnologie und Einzelhandel.

Laut Auszug aus der CSI / FBI-Umfrage 2010/2011

Der Versuch, den Täter zu identifizieren, geht weiter zurück - von 60 Prozent vor zwei Jahren auf 37,2 Prozent im letzten Jahr und jetzt in diesem Jahr auf 23,9 Prozent. Es scheint, dass Schadensbegrenzung und Wiederherstellung viel höhere Prioritäten haben als der Versuch, den Übeltäter zu finden und Gerechtigkeit zu üben.

Entsprechend der geringen Häufigkeit von Berichten an die Medien gab es einen Sprung Dieser Prozentsatz stieg von 15,6 Prozent im letzten Jahr auf 25,4 Prozent in diesem Jahr . Unternehmen scheinen die Sicherheitsvorfälle, auf die sie stoßen, geheimer als je zuvor zu behandeln.

Mit diesen Zahlen sage ich, dass es für Sie als Opfer von Kreditbetrug oder anderen sehr gute Gründe gibt Datenschutzverletzungen Sie erhalten eine umsetzbare Antwort auf die möglichen Auswirkungen / Angriffe auf Ihre Nutzung persönlicher Daten. enter image description here

Hervorragende Informationen, die dazu beitragen, einen guten Überblick über das gesamte Thema zu erhalten. +1
Sehr interessant - und beunruhigend. +1
#4
+2
Will Thompson
2018-09-20 14:35:41 UTC
view on stackexchange narkive permalink

Der einfachste Weg, durchgesickerte Passwortdatenbanken zu durchsuchen, ist der Besuch einer Website wie LeakProbe https://www.leakprobe.net oder HaveiBeenPwned https://haveibeenpwned.com/

Sie können diese Websites kostenlos durchsuchen und herausfinden, ob Sie größere Lecks hatten.

#5
+1
Chloe
2013-03-28 21:18:39 UTC
view on stackexchange narkive permalink

Laden Sie die Datenbank herunter und suchen Sie mit grep -i nach Ihrem Namen. Sie können grep auch für Windows finden. Es könnte binären Müll ausspucken, aber das bedeutet, dass es gefunden wurde.

MyFICO Scorewatch kann Ihnen mit Ihrem (echten) FICO (basierend auf Equifax-Daten) bis zu einmal pro Woche eine Warnung senden, wenn Sie den Triggerschwellenwert niedrig genug einstellen. Es ist ungefähr 140 $ / Jahr. http://www.myfico.com/Products/Products.aspx

TrueCredit ist das billigste und gibt Ihnen jeden Monat einen gefälschten FICO (Vantage) mit einem vollständigen Textbericht von allen 3 Büros. Es ist ungefähr 120 $ / Jahr. http://tui.transunion.com/?enurl=truecredit.com

Sie können von Experian nur dann eine echte FICO-Punktzahl erhalten, wenn Sie ein Unternehmen sind.

Viel Glück dabei mit ein paar TB Daten
Dies setzt voraus, dass der Datenbankspeicherauszug im Klartext vorliegt, was wahrscheinlich keine gültige Annahme ist.
@BurhanAli Die Datenbank muss kein einfacher Text sein. Es kann binär sein. Grep durchsucht auch Binärdateien. Sofern die DB-Datei keine Komprimierung oder Verschlüsselung verwendet, enthält sie weiterhin die Zeichenfolgen in der Datei.
Ich weiß, dass grep Binärdateien durchsuchen kann. Ich meinte, dies setzt voraus, dass der Inhalt, nach dem Sie in der Datei gesucht haben, in einem Nur-Text-Format vorliegt und daher durchsuchbar ist. Ich bin immer noch nicht davon überzeugt, dass dies eine gültige Annahme ist.
Denken Sie nur daran, wie Datenbanken funktionieren. Sie müssen schnell nach Informationen suchen und verwenden manchmal Indizes dafür, und manchmal scannen sie die gesamte Tabelle. Sie werden das nicht komprimieren oder verschlüsseln. Überprüfen Sie sich einfach selbst: `less / var / lib / mysql / ibdata1` liefert Text wie diesen" <80> ^ @ ^ @ Mayorjohnson "


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...