Reklama
W 2012, LinkedIn został zhakowany przez nieznany rosyjski podmiot, a sześć milionów poświadczeń użytkowników wyciekło online. Cztery lata później okazało się, że hack był daleko gorzej niż się spodziewaliśmy. W raporcie opublikowane przez płytę główną Vicehaker o nazwie Peace sprzedał 117 milionów danych uwierzytelniających LinkedIn w ciemnej sieci za około 2200 USD w Bitcoin.
Chociaż ten odcinek jest ciągle uciążliwy dla LinkedIn, nieuchronnie będzie gorzej dla tysięcy użytkowników, których dane zostały rozpryskane online. Pomaga mi to zrozumieć Kevin Shabazi; wiodący ekspert ds. bezpieczeństwa oraz CEO i założyciel firmy LogMeOnce.
Zrozumienie przecieku LinkedIn: jak źle to naprawdę?
Siadając z Kevinem, pierwszą rzeczą, którą zrobił, było podkreślenie ogromu tego wycieku. „Jeśli liczba 117 milionów przeciekających danych wydaje się gigantyczna, musisz się przegrupować. W pierwszym kwartale 2012 roku LinkedIn liczyło łącznie 161 milionów członków. Oznacza to, że hakerzy w tym czasie nie tylko pobrali 117 milionów rekordów. ”
„W gruncie rzeczy zabrali aż 73% całej bazy danych członków LinkedIn”.
Te liczby mówią same za siebie. Jeśli mierzysz dane wyłącznie pod kątem wycieków danych, porównuje się je z innymi znanymi hackami, takimi jak wyciek PlayStation Network z 2011 roku, albo Wyciek Ashley Madison z zeszłego roku 3 powody, dla których Ashley Madison Hack to poważny romansInternet wydaje się zachwycony hackem Ashleya Madisona, z milionami cudzołożników i potencjałem dane osób dorosłych zostały zhakowane i wydane online, a artykuły wypisują osoby znalezione w danych wysypisko. Zabawne, prawda? Nie tak szybko. Czytaj więcej . Kevin chętnie podkreślił, że ten hack jest zasadniczo inną bestią. Ponieważ podczas gdy hack PSN miał na celu wyłącznie uzyskanie informacji o karcie kredytowej, a hack Ashley Madison miał na celu jedynie zażenowanie firmy i jej użytkowników, hack LinkedIn “pochłania biznesową sieć społecznościową w nieufność ”. Może to prowadzić do kwestionowania uczciwości ich interakcji w witrynie. Dla LinkedIn może to być śmiertelne.
Zwłaszcza, gdy zawartość zrzutu danych rodzi poważne pytania dotyczące polityki bezpieczeństwa firmy. Początkowy zrzut zawierał poświadczenia użytkownika, ale według Kevina poświadczenia użytkownika nie były poprawnie zaszyfrowane.
„LinkedIn powinien był zastosować hash i sól do każdego hasła, które wymaga dodania kilku losowych znaków. Ta dynamiczna odmiana dodaje do hasła element czasu, który w przypadku kradzieży będzie miał wystarczająco dużo czasu na jego zmianę. ”
Chciałem się dowiedzieć, dlaczego napastnicy czekali nawet cztery lata, zanim wyciekli do ciemnej sieci. Kevin przyznał, że napastnicy wykazali się dużą cierpliwością przy sprzedaży, ale było to prawdopodobne, ponieważ eksperymentowali z nim. „Należy założyć, że kodowali wokół niego podczas opracowywania matematycznych prawdopodobieństw w celu zbadania i zrozumienia trendów, zachowań użytkowników oraz zachowań związanych z hasłami. Wyobraź sobie poziom dokładności, jeśli podasz 117 000 000 rzeczywistych danych wejściowych, aby stworzyć krzywą i zbadać zjawisko! ”
Kevin powiedział również, że prawdopodobne jest, że ujawnione dane uwierzytelniające zostały wykorzystane do naruszenia bezpieczeństwa innych usług, takich jak Facebook i konta e-mail.
Zrozumiałe jest, że Kevin jest cholernie krytyczny wobec reakcji LinkedIn na wyciek. Opisał to jako „po prostu nieodpowiednie”. Jego największym zarzutem jest to, że firma nie ostrzegła swoich użytkowników o skali zamka, kiedy to się stało. Przejrzystość, mówi, jest ważna.
Wyraża również ubolewanie z powodu faktu, że LinkedIn nie podjął żadnych praktycznych kroków w celu ochrony swoich użytkowników, kiedy nastąpił przeciek. „Gdyby LinkedIn podjął wówczas działania naprawcze, wymusił zmianę hasła, a następnie współpracował z użytkownikami w celu poinformowania ich o najlepszych praktykach bezpieczeństwa, to byłoby w porządku”. Kevin mówi, że gdyby LinkedIn wykorzystał wyciek jako okazję do edukowania swoich użytkowników na temat potrzeby utwórz silne hasła Jak generować silne hasła pasujące do Twojej osobowościBez silnego hasła możesz szybko znaleźć się na końcu cyberprzestępczości. Jednym ze sposobów na stworzenie pamiętnego hasła może być dopasowanie go do swojej osobowości. Czytaj więcej które nie podlegają recyklingowi i są odnawiane co dziewięćdziesiąt dni, zrzut danych miałby dziś mniejszą wartość.
Co użytkownicy mogą zrobić, aby się chronić?
Kevin nie zaleca użytkownikom weź do ciemnej sieci Podróż do ukrytej sieci: przewodnik dla nowych naukowcówTen podręcznik zabierze Cię w podróż przez wiele poziomów głębokiej sieci: bazy danych i informacje dostępne w czasopismach akademickich. Wreszcie dotrzemy do bram Tor. Czytaj więcej aby sprawdzić, czy są na wysypisku. Mówi, że nie ma powodu, aby użytkownik potwierdzał, czy to w ogóle miało na niego wpływ. Według Kevina wszyscy użytkownicy powinny podjąć zdecydowane kroki, aby się chronić.
Warto dodać, że wyciek z LinkedIn prawie na pewno trafi do Troy Hunt Zostałem Pwned, w którym użytkownicy mogą bezpiecznie sprawdzić swój status.
Co powinieneś zrobić? Po pierwsze, mówi, użytkownicy powinni wylogować się ze swoich kont LinkedIn na wszystkich podłączonych urządzeniach i na jednym urządzeniu zmienić swoje hasło. Zrób to silny. Zaleca, aby ludzie generowali hasła przy użyciu generator losowych haseł 5 sposobów generowania bezpiecznych haseł w systemie LinuxWażne jest, aby używać silnych haseł do kont internetowych. Bez bezpiecznego hasła inni mogą łatwo złamać twoje. Możesz jednak poprosić komputer o wybranie jednego dla siebie. Czytaj więcej .
Trzeba przyznać, że są to długie, nieporęczne hasła i trudno je zapamiętać. To, jak mówi, nie stanowi problemu, jeśli używasz menedżera haseł. „Istnieje wiele bezpłatnych i renomowanych, w tym LogMeOnce.”
Podkreśla, że wybór odpowiedniego menedżera haseł jest ważny. „Wybierz menedżera haseł, który używa„ zastrzyku ”do wstawiania haseł w odpowiednich polach, a nie tylko kopiowania i wklejania ze schowka. Pomaga to uniknąć ataków hakerskich za pomocą keyloggerów. ”
Kevin podkreśla również znaczenie używania silnego hasła głównego w menedżerze haseł.
„Wybierz hasło główne, które ma więcej niż 12 znaków. To jest klucz do twojego królestwa. Użyj frazy, aby zapamiętać, na przykład „$ _I Love BaseBall $”. Złamanie zajmuje około 5 września. ”
Ludzie powinni również przestrzegać najlepszych praktyk bezpieczeństwa. To zawiera zastosowanie uwierzytelniania dwuskładnikowego Zablokuj teraz te usługi za pomocą uwierzytelniania dwuskładnikowegoUwierzytelnianie dwuskładnikowe to inteligentny sposób ochrony kont internetowych. Rzućmy okiem na kilka usług, które możesz zablokować z większym bezpieczeństwem. Czytaj więcej . „Uwierzytelnianie dwuskładnikowe (2FA) to metoda bezpieczeństwa, która wymaga od użytkownika podania dwóch warstw lub elementów identyfikacyjnych. Oznacza to, że będziesz chronić swoje dane uwierzytelniające za pomocą dwóch warstw obrony - czegoś, co „znasz” (hasło) i czegoś, co „masz” (jednorazowy token) ”.
Wreszcie, Kevin zaleca użytkownikom LinkedIn powiadomienie wszystkich w sieci o włamaniu, aby również oni mogli podjąć środki ochronne.
Ciągły ból głowy
Wyciek ponad stu milionów rekordów z bazy danych LinkedIn stanowi stały problem dla firmy, której reputacja została skażona przez innych głośne skandale bezpieczeństwa. To, co dzieje się później, jest zgadywaniem.
Jeśli użyjemy hacków PSN i Ashley Madison jako naszych map drogowych, możemy spodziewać się, że cyberprzestępcy niezwiązani z pierwotnym hackem skorzystają z wyciekających danych i wykorzystają je do wyłudzenia danych użytkowników. Możemy również oczekiwać, że LinkedIn przeprosi swoich użytkowników i zaoferuje im coś - być może gotówkę, a raczej kredyt na koncie premium - jako wyraz żalu. Tak czy inaczej, użytkownicy muszą być przygotowani na najgorsze, i podejmij proaktywne kroki Chroń się dzięki corocznej kontroli bezpieczeństwa i prywatnościMamy prawie dwa miesiące do nowego roku, ale wciąż jest czas na pozytywne rozstrzygnięcie. Zapomnij o piciu mniejszej ilości kofeiny - mówimy o podjęciu kroków w celu zapewnienia bezpieczeństwa i prywatności online. Czytaj więcej chronić się.
Źródło zdjęcia: Sarah Joy przez Flickr
Matthew Hughes jest programistą i pisarzem z Liverpoolu w Anglii. Rzadko można go znaleźć bez filiżanki mocnej czarnej kawy w dłoni i absolutnie uwielbia swojego Macbooka Pro i aparat. Możesz przeczytać jego blog na http://www.matthewhughes.co.uk i śledź go na Twitterze na @matthewhughes.