2% успешных попыток взлома осуществляется с помощью краденных учетных данных

Хакеры повторно используют похищенные учетные данные пользователей для взлома аккаунтов на различных сайтах, причем в 0,1-2% случаев попытки оказываются успешными. Таковы результаты исследования, проведенного компанией Shape Security.

По информации Shape Security, в 2016 году злоумышленники похитили свыше 3 млрд учетных записей, факт утечки данных признала 51 компания. Украденные логины и пароли регулярно используются злоумышленниками для несанкционированного доступа к учетным записям пользователей на разных ресурсах. Успешность данной тактики обуславливается тем, что многие пользователи часто устанавливают одну и ту же комбинацию логин\пароль на нескольких сайтах.

Ранее эксперты компании Keeper Security выяснили , что в 2016 году список самых распространенных паролей практически не изменился по сравнению с прошлыми годами - наиболее популярными у пользователей по-прежнему остаются 123456 и 123456789.

Согласно докладу Shape Security, на многих крупных ресурсах более 90% трафика составляют атаки credential stuffing - вброс регистрационных данных, напоминающий брутфорс, однако перебор вариантов при этом осуществляется не по словарю или спискам расхожих логинов и паролей, а по заранее приобретенной базе краденых данных.

«Shape зафиксировала миллионы попыток использования учетных данных, похищенных в результате обнародованных утечек информации, причем до 2% успешных попыток взлома относятся к сайтам, которые ранее не сообщали об утечках данных. Наиболее часто атакуемые системы включают банковские учетные записи, аккаунты в интернет-магазинах, а также программы лояльности авиакомпаний и отелей», - отмечается в отчете исследователей.

В минувшем году безусловным лидером по утечкам данных стала компания Yahoo!. За ней следуют FriendFinder , MySpace , Badoo и LinkedIn . В результате взломов техкомпаний было похищено больше всего учетных данных - в общей сложности 1,75 млрд записей.