Peter Holmes
0 
1036
170
V roce 2012 byl LinkedIn hacknut neznámou ruskou entitou a šest milionů uživatelských údajů bylo únikem online. O čtyři roky později se ukázalo, že ten hack byl daleko horší, než jsme původně očekávali. Ve zprávě zveřejněné viceprezidentskou základní deskou prodal hacker s názvem Peace 117 milionů identifikačních údajů LinkedIn na webu Dark za zhruba 2 200 USD v bitcoinech.
I když tato epizoda je pro LinkedIn trvalou bolestí hlavy, bude nevyhnutelně horší pro tisíce uživatelů, jejichž data byla online postříkána. Pomozte mi to pochopit, je Kevin Shabazi; přední bezpečnostní expert a generální ředitel a zakladatel LogMeOnce.
Pochopení úniku LinkedIn: Jak je to opravdu špatné?
První věcí, kterou posadil s Kevinem, bylo zdůraznit nesmírnost tohoto úniku. “Pokud se zdá, že údaj o 117 milionech pověřených údajů vypadá giganticky, musíte se přeskupit. V prvním čtvrtletí roku 2012 měl LinkedIn celkem 161 milionů členů. To znamená, že hackeři v té době nebrali jen 117 milionů záznamů.”
“V podstatě odebrali neuvěřitelných 73% celé databáze členství LinkedIn.”
Tato čísla hovoří sama za sebe. Pokud měříte data pouze z hlediska uniklých záznamů, porovná se to s jinými hackery s velkými jmény, jako je únik ze sítě PlayStation Network z roku 2011, nebo únik z Ashley Madison z minulého roku 3 důvody, proč je Ashley Madison Hack závažnou záležitostí 3 důvody Proč je hack Ashley Madison závažnou záležitostí Internet se zdá být nadšený hackerem Ashley Madison, kde miliony cizoložníků a potencionálních cizoložníků byly hacknuty a uvolněny online a články obsahující jednotlivce nalezené ve výpisu dat. Veselý, že? Ne tak rychle. . Kevin dychtivě zdůrazňoval, že tento hack je zásadně odlišnou šelmou. Protože zatímco hack PSN měl čistě získat informace o kreditní kartě a hacker Ashley Madison čistě způsoboval rozpaky společnosti a jejím uživatelům, hacker LinkedIn “zaplavuje obchodní síť zaměřenou na podnikání do nedůvěry”. Mohlo by to vést k tomu, že lidé zpochybňují integritu svých interakcí na místě. To by se pro LinkedIn mohlo ukázat jako fatální.
Obzvláště když obsah výpisu dat vyvolává vážné otázky o bezpečnostních politikách společnosti. Počáteční výpis obsahoval pověření uživatele, ale podle Kevina nebyla pověření uživatele šifrována správně.
“LinkedIn by měla použít hash a sůl na každé heslo, které zahrnuje přidání několika náhodných znaků. Tato dynamická varianta přidává do hesla časový prvek, takže pokud budou uživatelé odcizeni, budou mít dostatek času na jeho změnu.”
Chtěl jsem vědět, proč útočníci počkali až čtyři roky, než je vyhodili do temného webu. Kevin uznal, že útočníci při jeho prodeji projevili velkou trpělivost, ale to bylo pravděpodobné, protože s ním experimentovali.. “Měli byste předpokládat, že se kolem toho kódovali, zatímco se vyvíjeli matematické pravděpodobnosti ke studiu a pochopení uživatelských trendů, chování a případně chování hesel. Představte si úroveň přesnosti, pokud zadáte 117 000 000 skutečných vstupů pro vytvoření křivky a studium jevu!”
Kevin také uvedl, že je pravděpodobné, že uniklá pověření byla použita ke kompromitaci dalších služeb, jako jsou Facebook a e-mailové účty..
Pochopitelně, Kevin je neuvěřitelně kritický vůči odpovědi LinkedIn na únik. Popsal to jako “prostě nedostatečné”. Jeho největší stížnost spočívá v tom, že společnost neupozornila své uživatele na rozsah zádové části, když se to stalo. Transparentnost, říká, je důležitá.
Rovněž lituje skutečnosti, že LinkedIn neučinil žádné praktické kroky k ochraně svých uživatelů, zpět, když došlo k úniku. “Pokud by LinkedIn v té době přijal nápravná opatření, vynutil si změnu hesla a pak by s uživateli spolupracoval, aby je poučil o osvědčených bezpečnostních postupech, bylo by to OK”. Kevin říká, že pokud LinkedIn využil únik jako příležitost vzdělávat své uživatele o potřebě vytvářet silná hesla Jak generovat silná hesla, která odpovídají vaší osobnosti Jak generovat silná hesla, která odpovídají vaší osobnosti Bez silného hesla byste se mohli rychle ocitnout na přijetí konce kybernetického zločinu. Jedním ze způsobů, jak vytvořit nezapomenutelné heslo, může být přiřazení k vaší osobnosti. které nejsou recyklovány a obnovují se každých devadesát dní, by dnes měl výpis dat menší hodnotu.
Co mohou uživatelé udělat pro ochranu sebe?
Kevin nedoporučuje, aby uživatelé chodili na temný web Cesta do skrytého webu: Průvodce pro nové výzkumníky Cesta do skrytého webu: Průvodce pro nové výzkumníky Tato příručka vás provede prohlídkou mnoha úrovní hlubokého webu. : databáze a informace dostupné v akademických časopisech. Nakonec dorazíme k branám Tor. aby zjistili, zda jsou na skládce. Ve skutečnosti říká, že neexistuje žádný důvod pro uživatele, aby potvrdil, zda na ně nemá žádný vliv. Podle Kevina, všichni uživatelé by měli podniknout rozhodné kroky k vlastní ochraně.
Stojí za to dodat, že únik z LinkedIn téměř určitě najde cestu k Troy Hunt's Have I been Pwned, kde uživatelé mohou bezpečně zkontrolovat svůj stav.
Co byste tedy měli dělat? Za prvé, říká, že by se uživatelé měli odhlásit ze svých účtů LinkedIn na všech připojených zařízeních a na jednom zařízení změnit své heslo. Ať je silný. Doporučuje, aby lidé generovali svá hesla pomocí generátoru náhodných hesel. 5 způsobů, jak generovat zabezpečená hesla v systému Linux 5 způsobů, jak generovat zabezpečená hesla v systému Linux Je velmi důležité používat pro vaše online účty silná hesla. Bez bezpečného hesla je pro ostatní snadné crackovat. Můžete si však nechat počítač vybrat si pro sebe. .
Je pravda, že se jedná o dlouhá, nemotorná hesla a lidé si těžko zapamatují. To, jak říká, není problém, pokud používáte správce hesel. “Existuje několik bezplatných a renomovaných, včetně LogMeOnce.”
Zdůrazňuje, že výběr správného správce hesel je důležitý. “Vyberte správce hesel, který používá „injekci“ k vložení hesel do správných polí, spíše než jednoduše kopírovat a vkládat ze schránky. To vám pomůže vyhnout se útokům hackerů pomocí keyloggerů.”
Kevin také zdůrazňuje význam použití silného hlavního hesla ve správci hesel.
“Vyberte hlavní heslo, které má více než 12 znaků. To je klíč k vašemu království. Použijte frázi k zapamatování, jako je “$ _I Love BaseBall $”. Trvá to asi 5 září, než bude prasknuto”
Lidé by také měli dodržovat osvědčené postupy zabezpečení. To zahrnuje použití dvoufaktorové autentizace Zamknout tyto služby nyní pomocí dvoufaktorové autentizace Zamknout tyto služby nyní pomocí dvoufaktorové autentizace Dvoufaktorové ověření je chytrý způsob, jak chránit své online účty. Pojďme se podívat na několik služeb, které můžete uzamknout, s lepším zabezpečením. . “Dvoufázová autentizace (2FA) je bezpečnostní metoda, která vyžaduje, aby uživatel poskytl dvě vrstvy nebo části identifikace. To znamená, že budete chránit své přihlašovací údaje pomocí dvou vrstev obrany - něco, co „znáte“ (heslo), a něco, co „máte“ (jednorázový token)”.
A konečně, Kevin doporučuje, aby uživatelé LinkedIn informovali každého v jejich síti o hacku, aby také mohli přijmout ochranná opatření.
Trvalá bolest hlavy
Únik více než sto milionů záznamů z databáze LinkedIn představuje trvalý problém pro společnost, jejíž pověst byla poskvrněna jinými vysoce známými bezpečnostními skandály. Co se stane dál, je hádání někoho.
Používáme-li hackery PSN a Ashley Madison jako naše cestovní mapy, můžeme očekávat, že kyberkriminálci nesouvisející s původním hackem využijí uniklá data a použijí je k vydírání postižených uživatelů. Můžeme také očekávat, že se LinkedIn omlouvá a omlouvá se svým uživatelům a nabídne jim něco - možná hotovost nebo spíše úvěr na prémiový účet - jako projev smutku. Ať tak či onak, uživatelé musí být připraveni na to nejhorší a podniknout proaktivní kroky Chraňte se roční kontrolou bezpečnosti a ochrany soukromí Chraňte se roční kontrolou bezpečnosti a ochrany osobních údajů Jsme téměř dva měsíce do nového roku, ale stále je čas na učinit pozitivní rozhodnutí. Zapomeňte na pití méně kofeinu - mluvíme o tom, jak podniknout kroky k zabezpečení online bezpečnosti a soukromí. chránit se.
Image Credit: Sarah Joy přes Flickr