Hakovan Microsoft account?

Malopre mi stigao e-mail da je primećena "sumnjiva aktivnost" na mom Microsoft nalogu. Neko se navodno ulogovao iz Koreje.
Nalog sam kreirao odavno, ili za Skajp ili za OneDrive (koji i ne koristim). Moguće je da je isti nalog i za developer nalog, za igricu koju sam davno napravio za WP. Prosto se ne sećam ni kada sam se ja poslednji put ulogovao. Šifra koju sam koristio nije ništa posebno, ali nije nešto što bi moglo tek tako da se pogodi niti ima ikakve veze sa mnom (osim što je moja lozinka, da ). Više od 6 karaktera. MS nalogu sam pristupio kopiranjem linka sa Binga, ne kroz e-mail link. Lozinka je ostala bila stara i stvarno je u listi bila prijava iz Koreje. Odmah sam promenio lozinku, ali me zanima:

1) Da li se još nekome to desilo i kako je neko došao do moje lozinke? Da li postoji neki poznati bag/hack vezan za Majkrosoft naloge? Pretpostavljam da su negde videli moju e-mail adresu i tako me "izabrali", ali mi nije baš jasno kako su hakovali. Brute force logina?

2) Najvažnije - posoji li išta zarbinjavajuće što bi neko mogao da pokupi sa mog Majkrosoft naloga? Ne koristim ga za Windows login. Vidim da postoji lista mobilnih telefona vezanih za nalog (verovatno zbog igrice) i tu se vidi IMEI broj. Mogu li preko njega nekako da se nakače na moj telefon? Find my phone opciju sam sad probao, ali kao da ne radi. Na telefonu nemam ništa mnogo važno, ali čitam e-mail, pa potencijalno mogu da dobiju moj e-mail password, za eventualni pristup nečem drugom (klik na forgot password opciju na sajtovima). Da li je to uopšte moguće? Nisam dobio za sada e-mail koji bi bio za resetovanje lozinke negde. ali ovo mi je skroz čudno.

Phishing možda?

Pošto si napisao da nisi dobio nikakav reset password mail.

Znam da si ti daleko od noob-a, ali jesi li 2x proverio dolaznu email adresu? Da se ne razlikuje jedno slovo od legitimne i slično...

Kako phising ako stvarno na nalogu postoji prijava iz Koreje? Nadam se samo da nije iz Severne.

Pa prihvatio bih da je fišing, pa čak i da su iskopirali svu tu gomilu podataka, sa sve telefonom. Ali, nisam kliknuo na link u e-mail poruci, nego sam preko Binga tražio nešto tipa "Microsoft account suspicious activity", tako došao do linka za MS sajt i njega otvorio. Proverih još jednom, definitivno je microsoft.com domen. I bio je evidentiran taj login iz Koreje. A ovde i pitam zato što fišing napadi obično nisu izolovani, pa bih očekivao da je još ljudi iskusilo isto to bar u poslednjih nekoliko dana.

Za sada nema čudnih meilova, ali ako ih neko presreće može da čeka samo određene i njih odmah da briše. S druge strane, zašto bi onda pustili taj mail za login na MS nalog? Već su imali lozinku. A e-mail adresu su znali već i time što su upali na MS nalog. Jeste da sam umoran, ali sve mi je totalno čudno. I zabrinjavajuće.

@vddutina

Pa ceo fejk mail naprimer dobije - to je makar lako.

Ali vidim sad gore da je Cane napisao da se ulogovao kroz linka sa Binga i da je potvrdio da je MS-ova sumnja stvarna (nije phishing mail).

Po svemu sudeći, nije bio lažan e-mail. Ali, najvažnije pitanje jeste - šta bi bitno neko mogao da dobije pristupom nečijem MS nalogu? E-mail adresu su već imali, podaci o telefonu su jedino što mi pada na pamet, ali ne znam da li ono što piše na MS sajtu može ikako da se zloupotrebi. I da li postoji još nešto važno što mi ne pada na pamet?

Bogami, svasta ima na tom nalogu ako koristis.

Ja imam vezanu karticu za placanje + microsoft balance sa nekom lovom tamo.

Moze sebi da kupi giftove, promeni mi skajp ime i preuzme account na kom imam i minuta i svega + zakljuca ga i trazi lovu da mi to sve otkljuca...

uglavnom, napravi stetu.

Ok, odlično primećeno. Palo mi je sinoć na pamet za karticu, ali developer članarinu za MS sam platio debitnom karticom koja je u međuvremenu istekla. Pritom, na sajtu a na Skajpu ne koristim SkypeOut opciju. Ipak, dobro si mi skrenuo pažnju, ne bih se toga setio. Hm, sad vidim da imam registrovanu i karticu od prijatelja koja još važi, ali se ne prikazuje ceo broj kartice na MS sajtu. Morali bi da im hakuju celu bazu. I još stoji da je "za kupovine u Srbiji".

Ako se neko seti još neke mogućnosti zloupotrebe, molio bih da dopiše.

Sad razmišljam o Skajpu i shvatih da je haker dobio i pristup kompletnoj istoriji svih poruka, jer se one drže na serverima, umesto u lokalu kao nekad. A nemam pojma da li je među porukama i slikama bilo nekad lozinki i ko zna kakvih sve podataka (o karticama, recimo) koji mogu da se zloupotrebe. Eto zašto je držanje podataka na serverima katastrofalna ideja. Nema šanse ni da utvrdim čega sve ima po porukama, ko će to da pretresa i analizira... I još uvek mi nije jasno kako je neko došao do moje šifre.

Ista situacija i kod mene pre dve nedelje. Nisam dugo ulazio na hotmail, i kada sam ukucao adresu izaslo mi obavestenje da je previse puta unesena pogresna sifra ili tako nesto, i da je lozinka resetovana. Nisam video odakle je pokusano da se pristupi adresi, jer nisam ni znao da to moze da se vidi.

Ili se ne razumemo ili nije isto. Ne znam da li može negde da se vidi šta je pokušano. Ovde je problem da je neko uspeo da se uloguje na moj MS nalog. A šifru sigurno nije mogao tek tako da pogodi. Npr, recimo da je šifra bila "trtlamrtla" (nije bila ni slična, samo ilustrujem poentu). Nema šanse da se pogodi. Ma da je bila i "table" nema šanse da je pogodi. A da je neko samo pokušao da se uloguje, ne bi me mnogo ni zanimalo. Inače, nisam dobio nikakvo obaveštenje pre toga da je bilo neuspelih pokušaja. Dakle, neko je morao da nađe da je to moja šifra i da zna moju e-mail adresu i da se uloguje na moj MS nalog. Neki razlog mora da postoji. A i izvor. Pifru sam koristio na još nekim sajtovima, ali retko i na nebitnim sajtovima koje teško da bi neko hakovao. Npr, nije Fejsbuk, Tviter ili Yahoo, nego eto bio je MS i možda još neki trtmrt sajt. Ali, mislim da nigde drugde nije bilo u kombinacijji sa istom e-mail adresom. Skroz neverovatno.

Naravno, to što MS kaže da se napad desio iz Koreje ne znači ništa, jer je možda u pitanju neki proxy ili vpn, a upad je mogao da bude iz bilo kog kraja sveta, uključujući Srbiju. Bar bi imalo više smisla nego Koreja.

EDIT: Btw, MS sajt kaže da je u pitanju "Successful sign-in", sa IP adrese 175.126.38.224, Mac OS i Chrome. Sinoć u 23:48, ali sam mail dobio tek sat vremena kasnije.

Meni se desilo isto, samo što je Češka bila u pitanju. Jesam bio u Pragu u to vreme, ali nisam pristupao nalogu.

Da li si primetio ikad neke posledice tog upada?

Sad si me naterao da proverim, isto macOS, isto Chrome, ali Holandija.

Pazi, jednom sam se istripovao kada sam ostaovio ukljucen VPN i logovao se na svoj nalog.

Odmah mi je stigao SMS da se neko ulogovao, ja malo izdramio i onda shvatio...

Ali, ovo je nesto ozbiljnije...

Pokusavali su ranije preko Skajp imena, ali sam onda promenio da moze samo sa primary mail adresom da se loguje.

Wow, čekaj, ovo je i tebi bilo sinoć? Skoro u isto vreme. Onda je definitivno neki širi pokušaj i definitivno bih rekao da su IP adrese lažne.
Jedino što tebi nije uspeo da se uloguje, a meni jeste. I dalje mi je neverovatno.
Ali hahaha, baš me nasmeja sa tim vpn upadom samom sebi.

Pokušaj da uneseš mail na https://haveibeenpwned.com/ i vidiš da li ti vraća neki rezultat. Ako vraća, možda si na tom sajtu koristio isti pass kao za MS nalog.

Sajt je legit, neće dalje prosleđivati uneti mail, već samo proverava iz leak-ovanih i kompromitovanih baza.

I meni se desilo isto pre par nedelja! Prvo mi je na Yahoo mejl stiglo obavestenje da neko hoce da pristupi mom Hotmail nalogu. Posto sam bio zauzet, mislio sam da je phishing i oznacio mejl kao spam.
Narednog jutra mi je stiglo SMS obavestenje na mobilni: "Someone might have accessed Microsoft account...." - jos imam ovaj SMS!
Tu ukapiram da je vrag odneo salu, skacem iz kreveta i odmah menjam sifru na nalogu. Sreca pa imam na mobilnom njihovu aplikaciju za dvostruku verifikaciju.
Sada je pitanje da li me je ova dvostruka autentifikacija zastitila ili ne?

Sto se tice sifre, u pitanju je bila poduza kombinacija odredjenih reci, brojeva i specijalnih karaktera koji meni nesto znace.
Mejl ne koristim za torent sajtove ili slicno, nije mi jasno sta se tu desilo i koje su eventualne posledice?

dzonihsv je napisao(la):

Pokušaj da uneseš mail na https://haveibeenpwned.com/ i vidiš da li ti vraća neki rezultat. Ako vraća, možda si na tom sajtu koristio isti pass kao za MS nalog.

Sajt je legit, neće dalje prosleđivati uneti mail, već samo proverava iz leak-ovanih i kompromitovanih baza.

Kliknite za proširenje...

Sad sam proverio, izgleda da je kod mene bio problem sto je baza sajta Nexus Mods hakovana, ali jos 2015. godine! Hvala za link, bar znam sta je.

Lose sam se izrazio, tj. pogresno sam napisao. Posto sam sacuvao email, pogledao sam i pise da se neko prijavio sa druge lokacije, ili drugog uredjaja, i da potvrdim da sam to ja. Sve ovo se desavalo u toku noci, oko 2:00h.

Meni prijavljuje da mi je mail pwned iz baze Mint-a i Trillian-a. Sad, za Mint hack prošle godine znam i tada sam promenio sve bitnije šifre, ali Trillian nisam nikada koristio, a prijavljuje da je 2015. hakovan.

Jel koristite vi ljudi 2FA?

I Yahoo i MS za mail naloge imaju 2fa, znam jer koristim oba..

Meni je ovaj account nebitan, pa se nisam ni cimao da ukljucujem. Za sve ostalo imam 2fa.

@canejr

Nista, barem ne jos uvek

Naravno, ivanbass1 je u pravu u potpunosti, 2fa je prava stvar, ali kod MS account-a ima jos jedna fora, na koju treba obratiti paznju:



Moze se birati sa kojim aliases-ima moze da se loguje, tako da se moze promeniti i skinuti stari (provaljen) mejl.

I meni je mail pawned (ni manje ni više, nego zbog Avasta (ni ne sećam se kad sam koristio mail za njega, odavno ne koristim)). Sve šifre su random s password manager-om, tako da se nešto ne secam oko toga.

Sva moja tri naloga su green. Be invisible dude invisible.

Ključno pitanje je kakve su moguće posledice, a mislim da je ovo najbolji pokazatelj koliku štetu korisnici trpe zbog toga što ne znamo koje sve podatke o nama ko prikuplja i kako koristi (i što im je to uopšte dozvoljeno). Ne možemo ni da zamislimo šta sve hakeri mogu da nađu/urade dok oni odlično znaju šta traže. Može da se desi i da ovaj haker na mom nalogu nije našao to što je tražio, ali ja to ne mogu da znam, a MS sigurno ne bi hteo da kaže.

Telekom je 2015. imao drugi domen, pa teško da je adresa od starog hakovanja. Ne bih rekao da sam igde više koristio tu kombinaciju e-mail adrese i lozinke, a samu lozinku sam koristio na možda još 2-3 sajta koji nisu bili veliki sistemi koji bi privukli pažnju. Odavno ih i ne koristim, verovatno.

Za 2FA mislim da nije ni postojala kada sam registrovao nalog i nemam nikakve aliase. S druge strane, aktivirao sam za neke druge naloge i stvarno je mučenje za korisnika. Unosim ime i lozinku, a onda traži telefon, aktiviraj, traži program, prekucavaj. I svaki put se osećam kao da sam ja kriminalac.

Ne smeš nikad, ali NIKAD da koristiš iste šifre za više naloga. Password manager i tu jaka šifra, sve ostalo automatski generisano.
S tvog naloga je mogao da nabavi šta i ti sam možeš da vidiš na svom nalogu, za šta prikupljaju treba da ima pristup direktno Microsoft serverima, što je nešto drugo.

Zašto da ne? Na desetinama sajtova sam stavljao lozinku 12345 ili neku od varijacija, jer su bile situacije kada su me terali da zbog neke gluposti kreiram nalog koji verovatno više nikad nisam ni koristio. Ako neko upadne na te naloge, neka mu ih. A to što ja vidim isto što i haker ne znači da znam kakvu štetu može da napravi, jer niti razmišljam kao on, niti sam u toku sa raznim mogućnostima. Npr, pitao sam u proj poruci da li je nekako moguće od IMEI broja i broja telefona (čime se zna i operater) napraviti duplikat SIM kartice? Koliko znam, ne bi trebalo da je i blizu mogućeg, ali ne čitam Hacker's Digest, pa da budem siguran šta su do sada smislili i šta je sve razbijeno. Ni za Skajp nisam odmah povezao da može da pristupi istoriji razgovora i poslatim slikama (jer je sve na MS serverima, umesto na mojoj mašini). Da ne spominjem da na onom sajtu imaju gomile podataka, stalno sa nekim podopcijama, ko će to uopšte sve i da pregleda. Dakle, ne mogu da budem siguran na koji način je haker neke podatke mogao da iskoristi.

A password manager programi su prvi kojima ja nikad ne bih poverio lozinke. Jedino da ga sam napravim što i nije loša ideja.

Password manager ti je najbolji korak za praktičnu sigurnost.