Mainos
Vuonna 2012 Tuntematon venäläinen yksikkö tunkeutui LinkedIniin, ja kuusi miljoonaa käyttäjän käyttöoikeustietoja vuotanut verkkoon. Neljä vuotta myöhemmin on käynyt ilmi, että hakata oli pitkälle huonompi kuin odotimme. Raportissa julkaissut Vice'n emolevy, Peace-niminen hakkeri on myynyt 117 miljoonaa LinkedIn-käyttöoikeustietoa Pimeässä verkossa noin 2200 dollarilla Bitcoinissa.
Vaikka tämä jakso on jatkuva päänsärky LinkedInille, se on väistämättä pahempaa tuhansille käyttäjille, joiden tietoja on räjäytetty verkossa. Kevin Shabazi auttaa minua sen ymmärtämisessä; johtava tietoturva - asiantuntija, toimitusjohtaja ja perustaja LogMeOnce.
LinkedIn-vuodon ymmärtäminen: Kuinka paha se todella on?
Istuessaan Kevinin kanssa ensimmäinen asia, mitä hän teki, oli tämän vuodon pahoinpitelyn korostaminen. ”Jos 117 miljoonan vuotaneen valtakirjan tiedot näyttävät jättimäiseltä, joudut ryhmittelemään itsesi uudelleen. LinkedInillä oli vuoden 2012 ensimmäisellä neljänneksellä yhteensä 161 miljoonaa jäsentä. Tämä tarkoittaa, että hakkerit eivät tuolloin ottaneet vain 117 miljoonaa levyä. ”
"Pohjimmiltaan he veivät mahtava 73% LinkedInin koko jäsenyystietokannasta."
Nämä numerot puhuvat puolestaan. Jos mittaat tiedot puhtaasti vuotaneiden tietueiden perusteella, niitä verrataan muihin iso-nimisiin hakkereihin, kuten PlayStation Network -vuoto vuodelta 2011, tai Ashley Madison vuotaa viime vuodesta 3 syytä, miksi Ashley Madison Hack on vakava asiaInternet näyttää ekstaattiselta Ashley Madisonin hakkeroinnista, miljoonilla aviorikoksilla ja potentiaalilla aviorikojien yksityiskohdat hakkeroitiin ja julkaistiin verkossa, ja artikkeleista poistettiin tietoista löytyviä yksilöitä dump. Hurmaava, eikö? Ei niin nopeasti. Lue lisää . Kevin korosti innokkaasti, että tämä hakkerointi on kuitenkin täysin erilainen peto. Koska PSN-hakkerointi oli pelkästään luottokorttitietojen hankkimista, ja Ashley Madison-hakkerointi oli puhtaasti aiheuttanut hämmennystä yritykselle ja sen käyttäjille, LinkedIn-hakkeri “kiinnittää yritystoimintaan keskittyvän sosiaalisen verkoston epäluottamukseen ”. Se voi johtaa siihen, että ihmiset kyseenalaistavat vuorovaikutuksensa eheyden sivustolla. Tämä LinkedInille voi osoittautua kohtalokkaalle.
Varsinkin kun tietosivun sisältö herättää vakavia kysymyksiä yrityksen turvallisuuspolitiikoista. Alkuperäinen luettelo sisälsi käyttäjän valtuustiedot, mutta Kevinin mukaan käyttäjän valtuustietoja ei salattu oikein.
”LinkedIn olisi pitänyt soveltaa a hash ja suola jokaiseen salasanaan, johon sisältyy muutama satunnainen merkki. Tämä dynaaminen variaatio lisää salasanaan aikaelementin, että jos varastetaan, käyttäjillä on runsaasti aikaa vaihtaa se. "
Halusin tietää, miksi hyökkääjät olivat odottaneet jopa neljä vuotta ennen kuin vuotivat sen pimeään verkkoon. Kevin myönsi, että hyökkääjät olivat osoittaneet suurta kärsivällisyyttä myyessään sitä, mutta todennäköisesti siksi, että he kokeilivat sitä. ”Sinun pitäisi olettaa, että he koodaavat sitä, kun kehitetään matemaattisia todennäköisyyksiä tutkia ja ymmärtää käyttäjän suuntauksia, käyttäytymistä ja lopulta salasanakäyttäytymistä. Kuvittele tarkkuuden taso, jos lähetät 117 000 000 todellista tuloa käyrän luomiseksi ja ilmiön tutkimiseksi! ”
Kevin kertoi myös, että on todennäköistä, että vuotaneet valtuustiedot käytettiin muiden palveluiden, kuten Facebookin ja sähköpostitilien, vaarantamiseen.
Ymmärrettävästi, Kevin suhtautuu häpeällisesti kriittisesti LinkedInin vastaukseen vuotoon. Hän kuvasi sitä "yksinkertaisesti riittämättömäksi". Hänen suurin valituksensa on, että yritys ei hälyttänyt käyttäjiään polvenvaihdosta, kun se tapahtui. Hänen mukaansa läpinäkyvyys on tärkeä.
Hän pahoittelee myös sitä tosiseikkaa, että LinkedIn ei ryhtynyt mihinkään käytännöllisiin toimiin käyttäjien suojelemiseksi takaisin vuodon tapahtuessa. "Jos LinkedIn olisi tuolloin ryhtynyt korjaaviin toimenpiteisiin, pakottanut salasanan vaihtamisen ja työskennellyt sitten käyttäjien kanssa kouluttaakseen heitä tietoturvan parhaista käytännöistä, se olisi ollut OK". Kevin kertoo, että jos LinkedIn käytti vuotoa tilaisuutena kouluttaa käyttäjiään tarpeesta luoda vahvoja salasanoja Kuinka luoda vahvoja salasanoja, jotka vastaavat persoonallisuuttasiIlman vahvaa salasanaa pääset nopeasti tietoverkkorikollisuuden vastaanottopäähän. Yksi tapa luoda ikimuistoinen salasana voisi olla sovittaa se persoonallisuutesi mukaan. Lue lisää joita ei kierrätetä ja jotka uusitaan yhdeksänkymmenen päivän välein, tietolähteellä olisi nykyään vähemmän arvoa.
Mitä käyttäjät voivat tehdä itsensä suojelemiseksi?
Kevin ei suosittele käyttäjille siirry Pimeään verkkoon Matka piilotettuun verkkoon: opas uusille tutkijoilleTämä opas vie sinut kiertueelle monen syvän webin tason kautta: tietokannat ja tiedot, jotka ovat saatavilla akateemisissa lehdissä. Viimeinkin saavuimme Torin porteille. Lue lisää onko he kaatopaikassa. Itse asiassa hän sanoo, ettei käyttäjällä ole mitään syytä vahvistaa, onko heihin vaikuttanut ollenkaan. Kevinin mukaan kaikki käyttäjät pitäisi ryhtyä päättäväisiin toimiin suojelemiseksi itsensä.
On syytä lisätä, että LinkedIn-vuoto löytää melkein varmasti tien Troy Hunt'iin Olenko pwned, jossa käyttäjät voivat turvallisesti tarkistaa tilansa.
Joten mitä sinun pitäisi tehdä? Ensinnäkin, hän sanoo, että käyttäjien tulisi kirjautua ulos LinkedIn-tileistään kaikissa kytketyissä laitteissa ja vaihtaa salasanansa yhdessä laitteessa. Tee siitä vahva. Hän suosittelee, että ihmiset luovat salasanansa käyttämällä satunnainen salasanageneraattori 5 tapaa suojattujen salasanojen luomiseen LinuxissaOn erittäin tärkeää käyttää vahvoja salasanoja online-tileihisi. Ilman turvallista salasanaa muiden on helppo murtaa omasi. Voit kuitenkin saada tietokoneesi valitsemaan yhden sinulle. Lue lisää .
Tosin nämä ovat pitkiä, hankalia salasanoja, ja ihmisten on vaikea muistaa niitä. Tämä, hän sanoo, ei ole ongelma, jos käytät salasananhallintaa. "On useita ilmaisia ja hyvämaineisia, mukaan lukien LogMeOnce."
Hän korostaa, että oikean salasananhallinnan valinta on tärkeää. “Valitse salasananhallinta, joka käyttää injektiota salasanojen lisäämiseen oikeisiin kenttiin sen sijaan, että kopioida ja liittää leikepöydältä. Tämä auttaa sinua välttämään hakkerihyökkäyksiä keyloggerien kautta. ”
Kevin korostaa myös vahvan pääsalasanan käytön tärkeyttä salasanahallinnassa.
“Valitse pääsalasana, joka on enemmän kuin 12 merkkiä. Tämä on avain valtakuntasi. Muista lause, kuten “$ _I Love BaseBall $”. Tämä kestää noin 5 septillion vuotta murtumista "
Ihmisten tulisi myös noudattaa turvallisuuden parhaita käytäntöjä. Tämä sisältää kahden tekijän todennuksen käyttö Lukitse nämä palvelut nyt kaksifaktorisella todennuksellaKaksikerroinen todennus on fiksu tapa suojata online-tilejäsi. Katsotaanpa muutamia palveluita, jotka voit lukita turvallisuuden parantamiseksi. Lue lisää . ”Kaksifaktorinen todennus (2FA) on tietoturvamenetelmä, joka vaatii käyttäjän toimittamaan kaksi kerrosta tai tunnistekappaletta. Tämä tarkoittaa, että suojaat käyttöoikeustietosi kahdella puolustuskerroksella - jotain, jonka "tunnet" (salasana), ja jollain "sinulla" on (kertaluonteinen merkki) ”.
Lopuksi, Kevin suosittelee, että LinkedIn-käyttäjät ilmoittavat hakkeroinnista kaikille verkossa oleville, jotta hekin voivat ryhtyä suojatoimenpiteisiin.
Jatkuva päänsärky
Yli sadan miljoonan tietueen vuotaminen LinkedIn-tietokannasta edustaa jatkuvaa ongelmaa yritykselle, jonka maine on vahingoittanut muita korkean profiilin turvaskandaalit. Joku arvaa, mitä seuraavaksi tapahtuu.
Jos käytämme tiekarttoina PSN- ja Ashley Madison -hakkeja, voimme odottaa, että alkuperäiseen hakkerointiin liittymättömät rikolliset hyödyntävät vuotaneet tiedot ja käyttävät sitä kiristääkseen käyttäjiä. Voimme odottaa myös, että LinkedIn uhrasi anteeksi käyttäjiltään ja tarjoaisi heille jotain - ehkä käteisvaroja tai todennäköisemmin premium-tililuottoa - pahoillaan. Joko niin, että käyttäjien on oltava varautuneita pahimpaan tilanteeseen, ja ryhtyä ennakoiviin toimiin Suojaa itsesi vuosittaisilla turvallisuus- ja yksityistarkastuksillaMeillä on melkein kaksi kuukautta uuteen vuoteen, mutta positiivisen ratkaisun löytämiseen on vielä aikaa. Unohda vähemmän kofeiinin juominen - puhumme toimenpiteistä online-tietoturvan ja yksityisyyden turvaamiseksi. Lue lisää suojelemaan itseään.
Kuvahyvitys: Sarah Joy Flickrin kautta
Matthew Hughes on ohjelmistokehittäjä ja kirjailija Liverpoolista, Englannista. Hän on harvoin löydetty ilman kuppia vahvaa mustaa kahvia kädessään ja ihailee ehdottomasti MacBook Prota ja kameraansa. Voit lukea hänen bloginsa osoitteessa http://www.matthewhughes.co.uk ja seuraa häntä twitterissä osoitteessa @matthewhughes.
