Det er ille nok når man kjeltring bruker en keylogger for å stjele bankinnloggings og passord. Det er mye, mye verre å ha alle dine sensitive opplysninger sitter i en ubeskyttet FTP-område, åpen for alle som skjer på tvers av det.
Dessverre er det akkurat det sikkerhets forskere har begynt å se det siste året. Alex Eckelbert i antivirusselskapet Sunbelt Software viste meg en slik FTP-server som hans selskap hadde funnet mens han etterforsker en keylogger som ikke engang var særlig utbredt.
Serveren, basert i Washington, DC, var fullpakket med nesten en gigabyte med legitimasjon stjålet i løpet av april måned.
Ikke bare keyloggers fange alt du skriver, kan de ta skjermbilder av PCens diplay, og de kan fange opp data fra Windows Protected Storage-området, som er stedet der Internet Explorer lagrer lagrede passord.
En av loggfilene på FTP-serveren holdt stjålet passord for en rekke amerikanske banker og for Kjøp .co, sammen med Yahoo, Hotmail og andre e-postkonto brukernavn og passord, samt kontoopplysninger for online kasino og en mengde annen nettsteder.
Faren er internasjonal:.. Loggregistreringene var i utallige språk - tysk, spansk, ungarsk, tyrkisk og japansk, blant andre - og det holdt IP-adresser som pekte til infiserte datamaskiner spredt rundt om i verden
Når hans selskap oppdaget de første cache av keylogger data mer enn et år siden, sier Eckelberry han varslet banker og selskaper som hadde blitt ryddet vekk av logger.
Tim Brown, eier av Kingdom Søm og Vacuum i Nothridge, California, var én mottaker av en slik telefon fra Sunbelt.
Han tall at hans bank log-in ble løftet av en keylogger da han var på en tur til Costa Riza og brukte hotellet datamaskin for å sjekke kontoen hans. Men hans hjemmedatamaskiner var ikke trygt, enten: "Jeg har ikke noen antivirus eller spam på PCene mine," sier han, "jeg gjør nå."
Brown var relativt heldig: Han ble varslet før noen hadde brukt de stjålne dataene, og han umiddelbart endret sin kontoinformasjon å beskytte seg selv.
Tusenvis av andre potensielle ofre er kanskje ikke så heldig.
Og i disse dager oppdager Sunbelt så mange data hvelv som den ikke kan håndtere selve volumet av stjålet legitimasjon, så det har sluttet å kontakte enkeltpersoner ans rapporterer bare det de finner til politiet.
Med så mye data tilgjengelig, har det vært ingen hastverk med å skape nye keyloggers. Ifølge Anti-Phishing Working Group, en bedrift og rettshåndheve