Ce trebuie să știți despre scurgerea conturilor masive LinkedIn
În 2012, LinkedIn a fost hacked de o entitate rusă necunoscută și s-au scurs 6 milioane de acreditări de utilizator online. Patru ani mai târziu, sa constatat că a fost hack-ul departe mai rău decât ne-am așteptat. Într-un raport publicat de placa de bază Vice, un hacker numit Peace a vândut 117 milioane de acreditare LinkedIn pe webul Dark pentru aproximativ 2.200 de dolari în Bitcoin.
În timp ce acest episod este o durere de cap continuă pentru LinkedIn, va fi în mod inevitabil mai gravă pentru mii de utilizatori ale căror date au fost împrăștiate online. Ajutându-mă să înțeleg este Kevin Shabazi; un expert de securitate de vârf și CEO și fondator al LogMeOnce.
Înțelegerea scurgerii LinkedIn: cât de rău este adevărat?
Ședința cu Kevin, primul lucru pe care la făcut a fost să sublinieze enormitatea acestei scurgeri. “Dacă cifra de 117 milioane de acreditare pare să pară gigantică, trebuie să vă regrupați. În primul trimestru al anului 2012, LinkedIn a avut un total de 161 milioane de membri. Acest lucru înseamnă că hackerii de atunci nu au luat doar 117 milioane de înregistrări.”
“În esență, au scos un procent de 73% din întreaga bază de date a membrilor LinkedIn.”
Aceste numere vorbesc de la sine. Dacă măsurați datele numai din punct de vedere al înregistrărilor scoase, se compară cu alte hack-uri de mare nume, cum ar fi scurgerea PlayStation Network din 2011 sau scurgeri de Ashley Madison de anul trecut 3 Motivele pentru care Ashley Madison Hack este o afacere gravă 3 motive De ce Ashley Madison Hack este o afacere gravă Internetul pare a fi extatic în legătură cu hack-ul Ashley Madison, cu milioane de detalii despre adulter și potențiali adulteri care au fost hackate și lansate online, cu articole care ies la iveală în dosarul de date. Hilar, nu? Nu asa de repede. Citeste mai mult . Kevin a fost dornic să sublinieze că această hack este o bestie fundamentală diferită. Deoarece în timp ce hack-ul PSN a fost doar pentru a obține informații despre cărțile de credit, iar hack-ul Ashley Madison a fost pur și simplu de natură să provoace jena companiei și utilizatorilor acesteia, hack-ul LinkedIn “atrage o rețea socială axată pe afaceri în neîncredere”. Ar putea duce la întrebarea integrității interacțiunilor pe site. Acest lucru, pentru LinkedIn, s-ar putea dovedi fatal.
Mai ales atunci când conținutul dumpului de date ridică întrebări serioase cu privire la politicile de securitate ale companiei. Dosarul inițial a inclus acreditările utilizatorului, dar, potrivit lui Kevin, acreditările utilizatorului nu au fost corect criptate.
“LinkedIn ar fi trebuit să utilizeze o hash și o sare pentru fiecare parolă care implică adăugarea câtorva caractere aleatoare. Această variantă dinamică adaugă un element de timp parolei, care, dacă este furat, va avea timp suficient pentru a-l schimba.”
Voiam să știu de ce atacatorii au așteptat până la patru ani înainte de a le strecura în întunericul web. Kevin a recunoscut că atacatorii au arătat o mare răbdare în vânzarea lui, dar acest lucru se întâmpla probabil pentru că ei experimentează acest lucru. “Ar trebui să presupuiți că ei codau în jurul acestuia în timp ce dezvoltau probabilități matematice pentru a studia și a înțelege tendințele utilizatorilor, comportamentul și, eventual, comportamentele legate de parolă. Imaginați-vă nivelul de acuratețe dacă trimiteți 117.000.000 de intrări reale pentru a crea o curbă și a studia un fenomen!”
Kevin a mai spus că este probabil că acreditările scurgente au fost folosite pentru a compromite alte servicii, precum Facebook și conturile de e-mail.
Este de înțeles că Kevin este critic în legătură cu răspunsul LinkedIn la scurgere. El a descris-o ca fiind “pur și simplu inadecvat”. Cea mai mare plângere este că compania nu și-a avertizat utilizatorii la scară înapoi când sa întâmplat. Transparența, spune el, este importantă.
De asemenea, el se plânge de faptul că LinkedIn nu a întreprins niciun fel de măsuri practice pentru a-și proteja utilizatorii, înapoi atunci când a avut loc scurgerea. “Dacă LinkedIn a luat măsuri corective atunci, a forțat o schimbare a parolei și apoi a lucrat cu utilizatorii pentru ai educa despre cele mai bune practici de securitate, atunci ar fi fost OK”. Kevin spune că dacă LinkedIn a folosit scurgerea ca o oportunitate de a-și educa utilizatorii despre necesitatea de a crea parole puternice Cum de a genera parole puternice care să corespundă personalității tale Cum de a genera parole puternice care să corespundă personalității tale Fără o parolă puternică ai putea să te găsești repede sfârșitul de primire a unei crime informatice. O modalitate de a crea o parolă memorabilă ar putea fi potrivirea acesteia cu personalitatea dvs. Citiți mai multe, care nu sunt reciclate și sunt reînnoite la fiecare nouăzeci de zile, dumpul de date ar avea o valoare mai mică astăzi.
Ce pot face utilizatorii pentru a se proteja?
Kevin nu recomandă că utilizatorii să ia la călătoria web întuneric în Web ascuns: un ghid pentru cercetători noi Călătorie în Web ascuns: un ghid pentru cercetători noi Acest manual vă va duce pe un tur prin multe niveluri de web profundă : baze de date și informații disponibile în reviste academice. În sfârșit, ajungem la porțile lui Tor. Citiți mai multe pentru a vedea dacă sunt în dump. De fapt, el spune că nu există nici un motiv ca un utilizator să confirme dacă au fost afectați deloc. Potrivit lui Kevin, toți utilizatorii ar trebui să ia măsuri decisive pentru a se proteja.
Merită adăugat că scurgerea LinkedIn va găsi aproape sigur drumul spre Troy Hunt's Have Ien Pwned, unde utilizatorii își pot verifica în siguranță starea.
Deci, ce ar trebui să faceți? În primul rând, spune el, utilizatorii ar trebui să se deconecteze din conturile lor LinkedIn pe toate dispozitivele conectate și să schimbe parola pe un singur dispozitiv. Faceți-o puternică. El recomanda ca oamenii sa isi genereze parolele folosind un generator de parola aleatoriu 5 moduri de a genera parole sigure pe Linux 5 moduri de a genera parole securizate pe Linux Este crucial sa folositi parole puternice pentru conturile online. Fără o parolă sigură, este ușor ca ceilalți să vă spargă. Cu toate acestea, puteți obține computerul să aleagă una pentru dvs. Citeste mai mult .
Desigur, acestea sunt parole lungi și greoaie și sunt dificil de memorat de către oameni. Acest lucru, spune el, nu este o problemă dacă folosiți un manager de parole. “Există mai multe persoane libere și reputate, inclusiv LogMeOnce.”
El subliniază că alegerea administratorului corect de parole este importantă. “Alegeți un manager de parole care utilizează "injecție" pentru a introduce parole în câmpurile corecte, mai degrabă decât să copiați și să le lipiți din clipboard. Acest lucru vă ajută să evitați atacurile de hack prin intermediul keylogger-ilor.”
De asemenea, Kevin subliniază importanța utilizării unei parole de master puternice în managerul de parole.
“Alegeți o parolă master care are mai mult de 12 caractere. Aceasta este cheia regatului tău. Utilizați o expresie pentru a vă aminti, cum ar fi “$ _I Love BaseBall $”. Aceasta durează aproximativ 5 ani de Septilion pentru a fi crăpată”
Oamenii ar trebui, de asemenea, să adere la cele mai bune practici de securitate. Aceasta include utilizarea autentificării cu două factori Blocați aceste servicii Acum cu autentificare cu două factori Blocați aceste servicii acum cu autentificare în doi factori Autentificarea cu două factori este modalitatea inteligentă de a vă proteja conturile online. Să aruncăm o privire la câteva dintre serviciile pe care le puteți bloca cu o mai bună securitate. Citeste mai mult . “Autentificarea în doi factori (2FA) este o metodă de securitate care necesită utilizatorului să furnizeze două straturi sau fragmente de identificare. Aceasta înseamnă că vă veți apăra acreditările cu două straturi de apărare - ceva ce "știți" (o parolă) și ceva ce aveți "(un simbol unic)”.
În cele din urmă, Kevin recomandă utilizatorilor LinkedIn să notifice toată lumea din rețeaua lor de hack, astfel încât și ei să poată lua măsuri de protecție.
O durere de cap continuă
Scurgerea a peste o sută de milioane de înregistrări din baza de date a LinkedIn reprezintă o problemă continuă pentru o companie a cărei reputație a fost afectată de alte scandaluri de securitate înalt. Ce se întâmplă în continuare este presupunerea cuiva.
Dacă folosim hack-urile PSN și Ashley Madison ca hărți rutiere, ne putem aștepta la infractorii cibernetici care nu au legătură cu hack-ul original pentru a profita de datele scoase din uz și pentru a le folosi pentru a elimina utilizatorii afectați. De asemenea, putem aștepta ca LinkedIn să-și ceară scuze utilizatorilor și să le ofere ceva - poate în numerar, sau mai probabil un credit de cont premium - ca un semn de contriție. În orice caz, utilizatorii trebuie să fie pregătiți pentru cel mai rău lucru și să ia pași proactivi. Protejați-vă cu o verificare anuală a securității și confidențialității Protejați-vă cu o verificare anuală a securității și confidențialității Suntem aproape două luni în noul an, dar mai avem timp să face o rezoluție pozitivă. Uitați de băut mai puțin cofeină - vorbim despre luarea de măsuri pentru a proteja securitatea online și confidențialitatea. Citiți mai multe pentru a vă proteja.
Credit de imagine: Sarah Joy prin Flickr
Explorați mai multe despre: Hacking, LinkedIn, Online Security, Password.