การเก็บเกี่ยวบัญชีคืออะไร?

การละเมิดข้อมูลมีหลายประเภท บางอย่างเกี่ยวข้องกับเวลา การวางแผน และความพยายามอย่างมากในส่วนของผู้โจมตี สิ่งนี้สามารถอยู่ในรูปแบบของการเรียนรู้ว่าระบบทำงานอย่างไรก่อนที่จะสร้างข้อความฟิชชิ่งที่น่าเชื่อถือและส่งไปยังพนักงานที่มีสิทธิ์เข้าถึงเพียงพอเพื่อให้ผู้โจมตีสามารถขโมยรายละเอียดที่ละเอียดอ่อนได้ การโจมตีในลักษณะนี้อาจส่งผลให้ข้อมูลสูญหายจำนวนมาก ซอร์สโค้ดและข้อมูลบริษัทเป็นเป้าหมายทั่วไป เป้าหมายอื่นๆ ได้แก่ ข้อมูลผู้ใช้ เช่น ชื่อผู้ใช้ รหัสผ่าน รายละเอียดการชำระเงิน และ PII เช่น หมายเลขประกันสังคมและหมายเลขโทรศัพท์

การโจมตีบางอย่างไม่ได้ซับซ้อนขนาดนั้น เป็นที่ยอมรับว่าพวกเขาไม่ได้ส่งผลกระทบอย่างมากต่อทุกคนที่ได้รับผลกระทบ ไม่ได้หมายความว่าพวกเขาไม่ใช่ปัญหา ตัวอย่างหนึ่งเรียกว่าการเก็บเกี่ยวบัญชีหรือการแจงนับบัญชี

การแจงนับบัญชี

คุณเคยพยายามลงชื่อเข้าใช้เว็บไซต์เพียงเพื่อบอกว่ารหัสผ่านของคุณผิดหรือไม่? นั่นเป็นข้อความแสดงข้อผิดพลาดเฉพาะใช่ไหม เป็นไปได้ว่าหากคุณจงใจพิมพ์ชื่อผู้ใช้หรือที่อยู่อีเมลของคุณผิด เว็บไซต์จะแจ้งให้คุณทราบว่า "ไม่มีบัญชีที่มีอีเมลนั้นอยู่" หรือมีผลกระทบดังกล่าว เห็นความแตกต่างระหว่างข้อความแสดงข้อผิดพลาดทั้งสองนี้หรือไม่ เว็บไซต์ที่ทำเช่นนี้มีความเสี่ยงที่จะถูกแจงนับบัญชีหรือการเก็บเกี่ยวบัญชี พูดง่ายๆ ก็คือ การระบุข้อความแสดงข้อผิดพลาดที่แตกต่างกันสองข้อความสำหรับสองสถานการณ์ที่แตกต่างกัน ทำให้สามารถระบุได้ว่าชื่อผู้ใช้หรือที่อยู่อีเมลมีบัญชีที่ถูกต้องกับบริการหรือไม่

มีหลายวิธีที่สามารถระบุปัญหาประเภทนี้ได้ สถานการณ์ข้างต้นของข้อความแสดงข้อผิดพลาดสองข้อความที่แตกต่างกันนั้นค่อนข้างจะมองเห็นได้ นอกจากนี้ยังแก้ไขได้ง่าย เพียงระบุข้อความแสดงข้อผิดพลาดทั่วไปสำหรับทั้งสองกรณี บางอย่างเช่น “ชื่อผู้ใช้หรือรหัสผ่านที่คุณป้อนไม่ถูกต้อง”

วิธีอื่นๆ ที่สามารถรวบรวมบัญชีได้ ได้แก่ แบบฟอร์มรีเซ็ตรหัสผ่าน ความสามารถในการกู้คืนบัญชีของคุณหากคุณลืมรหัสผ่านนั้นสะดวกมาก แม้ว่าเว็บไซต์ที่มีการรักษาความปลอดภัยไม่ดีอาจมีข้อความที่แตกต่างกันสองข้อความ ขึ้นอยู่กับว่าชื่อผู้ใช้ที่คุณพยายามส่งการรีเซ็ตรหัสผ่านนั้นมีอยู่หรือไม่ ลองนึกภาพ: "ไม่มีบัญชี" และ "รีเซ็ตรหัสผ่านแล้ว ตรวจสอบอีเมลของคุณ" อีกครั้งในสถานการณ์นี้ คุณสามารถระบุได้ว่ามีบัญชีอยู่หรือไม่โดยการเปรียบเทียบการตอบกลับ วิธีแก้ก็เหมือนกัน ให้คำตอบทั่วไป เช่น: “ส่งอีเมลรีเซ็ตรหัสผ่านแล้ว” แม้ว่าจะไม่มีบัญชีอีเมลที่จะส่งไปให้ก็ตาม

ความละเอียดอ่อนในการเก็บเกี่ยวบัญชี

ทั้งสองวิธีข้างต้นค่อนข้างดังในแง่ของรอยเท้า หากผู้โจมตีพยายามทำการโจมตีในปริมาณมาก การโจมตีนั้นจะปรากฏขึ้นอย่างง่ายดายในระบบบันทึกใดๆ วิธีการรีเซ็ตรหัสผ่านยังส่งอีเมลไปยังบัญชีใด ๆ ที่มีอยู่จริงอย่างชัดเจน การเสียงดังไม่ใช่ความคิดที่ดีที่สุดหากคุณพยายามส่อเสียด

บางเว็บไซต์อนุญาตให้ผู้ใช้โต้ตอบโดยตรงหรือมองเห็นได้ ในกรณีนี้ เพียงเรียกดูเว็บไซต์ คุณก็สามารถรวบรวมชื่อหน้าจอของทุกบัญชีที่คุณใช้งาน ชื่อหน้าจอมักจะเป็นชื่อผู้ใช้ ในหลาย ๆ กรณี มันสามารถบอกใบ้ใหญ่ ๆ ว่าชื่อผู้ใช้ใดที่ควรคาดเดา เนื่องจากผู้คนมักใช้ชื่อต่าง ๆ ในที่อยู่อีเมลของตน การเก็บเกี่ยวบัญชีประเภทนี้จะโต้ตอบกับบริการ แต่โดยพื้นฐานแล้วจะแยกไม่ออกจากการใช้งานมาตรฐาน ดังนั้นจึงมีความละเอียดอ่อนกว่ามาก

วิธีที่ดีในการทำตัวให้ละเอียดอ่อนคืออย่าแตะต้องเว็บไซต์ที่ถูกโจมตีเลย หากผู้โจมตีพยายามเข้าถึงเว็บไซต์ของบริษัทสำหรับพนักงานเท่านั้น พวกเขาอาจทำเช่นนั้นได้ แทนที่จะตรวจสอบไซต์เองสำหรับปัญหาการแจงนับผู้ใช้ พวกเขาสามารถไปที่อื่นได้ การสืบค้นข้อมูลจากเว็บไซต์ต่างๆ เช่น Facebook, Twitter และโดยเฉพาะอย่างยิ่ง LinkedIn จะสามารถสร้างรายชื่อพนักงานที่ดีของบริษัทได้ หากผู้โจมตีสามารถระบุรูปแบบอีเมลของบริษัทได้ เช่น [email protected] อันที่จริงแล้ว ผู้โจมตีสามารถรวบรวมบัญชีจำนวนมากได้โดยไม่ต้องเชื่อมต่อกับเว็บไซต์ที่พวกเขาวางแผนจะโจมตีด้วย

สามารถทำได้เพียงเล็กน้อยเมื่อเทียบกับเทคนิคการเก็บเกี่ยวบัญชีเหล่านี้ มีความน่าเชื่อถือน้อยกว่าวิธีแรก แต่สามารถใช้เพื่อแจ้งวิธีการแจงนับบัญชีที่ใช้งานได้มากขึ้น

ปีศาจอยู่ในรายละเอียด

ข้อความแสดงข้อผิดพลาดทั่วไปเป็นวิธีแก้ปัญหาเพื่อป้องกันการแจงนับบัญชีที่ใช้งานอยู่ บางครั้งมันเป็นรายละเอียดเล็กน้อยที่ทำให้เกมออกไป ตามมาตรฐาน เว็บเซิร์ฟเวอร์จะให้รหัสสถานะเมื่อตอบสนองต่อคำขอ 200 คือรหัสสถานะสำหรับ "ตกลง" หมายถึงสำเร็จ และ 501 คือ "ข้อผิดพลาดเซิร์ฟเวอร์ภายใน" เว็บไซต์ควรมีข้อความทั่วไปที่ระบุว่ามีการรีเซ็ตรหัสผ่าน แม้ว่าจริงๆ แล้วไม่ใช่เพราะไม่มีบัญชีที่ใช้ชื่อผู้ใช้หรือที่อยู่อีเมลที่ระบุ ในบางกรณี แม้ว่าเซิร์ฟเวอร์จะยังคงส่งรหัสข้อผิดพลาด 501 แม้ว่าเว็บไซต์จะแสดงข้อความสำเร็จก็ตาม สำหรับผู้โจมตีที่ให้ความสนใจกับรายละเอียด ก็เพียงพอที่จะบอกได้ว่าบัญชีมีอยู่จริงหรือไม่มีอยู่จริง

เมื่อพูดถึงชื่อผู้ใช้และรหัสผ่าน แม้แต่เวลาก็มีส่วนสำคัญ เว็บไซต์จำเป็นต้องจัดเก็บรหัสผ่านของคุณ แต่เพื่อหลีกเลี่ยงการรั่วไหลในกรณีที่ถูกบุกรุกหรือมีคนวงในที่หลอกลวง แนวทางปฏิบัติมาตรฐานคือการแฮชรหัสผ่าน แฮชการเข้ารหัสเป็นฟังก์ชันทางคณิตศาสตร์แบบทางเดียวที่หากป้อนอินพุตเดียวกันจะให้เอาต์พุตเดียวกันเสมอ แต่ถ้าแม้อักขระตัวเดียวในอินพุตจะเปลี่ยน ผลลัพธ์ทั้งหมดก็จะเปลี่ยนไปโดยสิ้นเชิง การจัดเก็บผลลัพธ์ของแฮช จากนั้นแฮชรหัสผ่านที่คุณส่งและเปรียบเทียบแฮชที่เก็บไว้ สามารถตรวจสอบได้ว่าคุณส่งรหัสผ่านที่ถูกต้องโดยที่ไม่เคยรู้รหัสผ่านของคุณจริงๆ

นำรายละเอียดมารวมกัน

อัลกอริทึมการแฮชที่ดีต้องใช้เวลาในการดำเนินการให้เสร็จสิ้น โดยทั่วไปจะใช้เวลาน้อยกว่าหนึ่งในสิบของวินาที เท่านี้ก็เพียงพอที่จะทำให้ยากต่อการบังคับเดรัจฉาน แต่ไม่นานนักที่จะเทอะทะเมื่อคุณตรวจสอบค่าเดียวเพียงค่าเดียว อาจดึงดูดให้วิศวกรเว็บไซต์ตัดมุมและไม่ต้องแฮชรหัสผ่านหากไม่มีชื่อผู้ใช้ ฉันหมายความว่าไม่มีจุดที่แท้จริงเพราะไม่มีอะไรจะเปรียบเทียบได้ ปัญหาคือเวลา

คำขอเว็บมักจะเห็นการตอบกลับในเวลาไม่กี่สิบหรือแม้แต่หนึ่งร้อยหรือมากกว่านั้นในมิลลิวินาที หากกระบวนการแฮชรหัสผ่านใช้เวลา 100 มิลลิวินาทีในการดำเนินการให้เสร็จสิ้น และผู้พัฒนาข้ามขั้นตอนนี้ไป... นั่นสามารถสังเกตเห็นได้ ในกรณีนี้ คำขอการรับรองความถูกต้องสำหรับบัญชีที่ไม่มีอยู่จะได้รับการตอบสนองในเวลาประมาณ 50 มิลลิวินาที เนื่องจากเวลาแฝงในการสื่อสาร คำขอรับรองความถูกต้องสำหรับบัญชีที่ถูกต้องด้วยรหัสผ่านที่ไม่ถูกต้องอาจใช้เวลาประมาณ 150 มิลลิวินาที ซึ่งรวมถึงเวลาแฝงในการสื่อสารและ 100 มิลลิวินาทีในขณะที่เซิร์ฟเวอร์แฮชรหัสผ่าน เพียงแค่ตรวจสอบระยะเวลาที่การตอบสนองจะกลับมา ผู้โจมตีสามารถระบุได้อย่างแม่นยำและเชื่อถือได้ว่ามีบัญชีอยู่หรือไม่

โอกาสในการแจกแจงที่มุ่งเน้นรายละเอียดเช่นสองสิ่งนี้สามารถมีประสิทธิภาพพอๆ กับวิธีการที่ชัดเจนยิ่งขึ้นในการเก็บเกี่ยวบัญชีผู้ใช้ที่ถูกต้อง

ผลของการเก็บเกี่ยวบัญชี

ในแง่นี้ ความสามารถในการระบุได้ว่ามีบัญชีอยู่หรือไม่มีอยู่ในไซต์อาจดูเหมือนไม่ใช่ปัญหามากเกินไป ไม่ใช่ว่าผู้โจมตีสามารถเข้าถึงบัญชีหรืออะไรก็ได้ ปัญหามีแนวโน้มที่จะกว้างขึ้นเล็กน้อยในขอบเขต ชื่อผู้ใช้มักจะเป็นที่อยู่อีเมลหรือนามแฝงหรือตามชื่อจริง ชื่อจริงสามารถเชื่อมโยงกับบุคคลได้อย่างง่ายดาย ทั้งที่อยู่อีเมลและนามแฝงมีแนวโน้มที่จะถูกใช้ซ้ำโดยบุคคลเดียว ทำให้สามารถเชื่อมโยงกับบุคคลใดบุคคลหนึ่งได้

ลองจินตนาการดูว่าผู้โจมตีสามารถระบุได้ว่าที่อยู่อีเมลของคุณมีบัญชีอยู่ในเว็บไซต์ทนายความหย่าร้างหรือไม่ สิ่งที่เกี่ยวกับเว็บไซต์เกี่ยวกับความร่วมมือทางการเมืองเฉพาะกลุ่มหรือสภาวะสุขภาพที่เฉพาะเจาะจง สิ่งนั้นอาจทำให้ข้อมูลที่ละเอียดอ่อนเกี่ยวกับตัวคุณรั่วไหลได้ ข้อมูลที่คุณอาจไม่ต้องการออกไป

นอกจากนี้ หลายคนยังใช้รหัสผ่านซ้ำกับหลายๆ เว็บไซต์ แม้ว่าทุกคนจะตระหนักถึงคำแนะนำด้านความปลอดภัยในการใช้รหัสผ่านเฉพาะสำหรับทุกสิ่ง หากที่อยู่อีเมลของคุณเกี่ยวข้องกับการละเมิดข้อมูลขนาดใหญ่ เป็นไปได้ว่าแฮชรหัสผ่านของคุณอาจรวมอยู่ในการละเมิดนั้นด้วย หากผู้โจมตีสามารถใช้กำลังดุร้ายเพื่อเดารหัสผ่านของคุณจากการละเมิดข้อมูลนั้น พวกเขาอาจพยายามใช้รหัสผ่านนั้นที่อื่น เมื่อถึงจุดนั้น ผู้โจมตีจะทราบที่อยู่อีเมลและรหัสผ่านที่คุณอาจใช้ หากพวกเขาสามารถระบุบัญชีในเว็บไซต์ที่คุณมีบัญชีอยู่ พวกเขาอาจลองใช้รหัสผ่านนั้น หากคุณใช้รหัสผ่านนั้นซ้ำบนไซต์นั้น ผู้โจมตีจะสามารถเข้าสู่บัญชีของคุณได้ ด้วยเหตุนี้จึงแนะนำให้ใช้รหัสผ่านเฉพาะสำหรับทุกสิ่ง

บทสรุป

การเก็บเกี่ยวบัญชีหรือที่เรียกว่าการแจงนับบัญชีเป็นปัญหาด้านความปลอดภัย ช่องโหว่การแจงนับบัญชีทำให้ผู้โจมตีสามารถระบุได้ว่ามีบัญชีอยู่หรือไม่ เนื่องจากเป็นช่องโหว่ในการเปิดเผยข้อมูล ผลกระทบโดยตรงจึงไม่จำเป็นต้องรุนแรง ปัญหาคือเมื่อรวมกับข้อมูลอื่น ๆ สถานการณ์จะเลวร้ายลงมาก ซึ่งอาจส่งผลให้มีรายละเอียดที่ละเอียดอ่อนหรือเป็นส่วนตัวที่สามารถเชื่อมโยงกับบุคคลใดบุคคลหนึ่งได้ นอกจากนี้ยังสามารถใช้ร่วมกับการละเมิดข้อมูลของบุคคลที่สามเพื่อเข้าถึงบัญชี

นอกจากนี้ยังไม่มีเหตุผลที่ถูกต้องสำหรับเว็บไซต์ที่จะรั่วไหลข้อมูลนี้ หากผู้ใช้ทำผิดพลาดทั้งชื่อผู้ใช้หรือรหัสผ่าน พวกเขาจะต้องตรวจสอบสองสิ่งเท่านั้นเพื่อดูว่าพวกเขาทำผิดพลาดตรงไหน ความเสี่ยงที่เกิดจากช่องโหว่การแจงนับบัญชีมีมากกว่าประโยชน์เล็กน้อยที่พวกเขาสามารถมอบให้กับผู้ใช้ที่พิมพ์ชื่อผู้ใช้หรือรหัสผ่านผิด