Mark Lucas
0 
4327
586
2012. godine LinkedIn hakirao je nepoznati ruski entitet, a šest milijuna korisničkih vjerodajnica procurilo je putem interneta. Četiri godine kasnije ispostavilo se da je hak bio daleko gore nego što smo prvo očekivali. U izvještaju koji je objavila Viceova matična ploča, haker nazvan Peace prodao je 117 milijuna LinkedIn-ovih vjerodajnica na Dark Webu za oko 2200 dolara u Bitcoin-u.
Iako je ova epizoda neprestana glavobolja za LinkedIn, neizbježno će biti još gore za tisuće korisnika čiji su podaci prosipani na mreži. Kevin Shabazi će mi pomoći da to shvatim; vodeći sigurnosni stručnjak i izvršni direktor i osnivač LogMeOncea.
Razumijevanje LinkedIn curenja: koliko je uistinu loše?
Sjedeći s Kevinom, prvo što je učinio bilo je naglasiti ogromnost ovog propuštanja. “Ako se brojka od 117 milijuna procurilih vjerodajnica čini gigantskom, morate se pregrupirati. U prvom tromjesečju 2012. LinkedIn imao je ukupno 161 milijun članova. To znači da tada hakeri nisu uzeli samo 117 milijuna ploča.”
“U osnovi su oduzeli nevjerojatnih 73% LinkedInove baze podataka o članstvu.”
Ovi brojevi govore sami za sebe. Ako podatke izmjerite čisto u odnosu na podatke koje su procurile, uspoređuju se s drugim velikim hakerskim imenima, poput curenja PlayStation Network-a iz 2011. ili Ashley Madison-a procurila iz prošle godine. 3 razloga zašto je Ashley Madison Hack ozbiljna stvar 3 razloga Zašto je sjeckanje Ashley Madison ozbiljna stvar Internet izgleda ekstatično zbog hakiranja Ashley Madison, a milijuni preljubnikih i potencijalnih preljubničkih detalja hakirani su i objavljeni putem interneta, a članci otkrivaju pojedince na popisu podataka. Smiješno, zar ne? Ne tako brzo. , Kevin je ipak želio naglasiti da je ovaj hak bitno drugačija zvijer. Budući da je PSN hack bio isključivo za dobivanje podataka o kreditnim karticama, a Ashley Madison hack je isključivo nanio sramotu kompaniji i korisnicima, LinkedIn hack “zahvaća društvenu mrežu usmjerenu na poslovanje u nepovjerenje”. To bi moglo dovesti do toga da ljudi postave pitanje integriteta svojih interakcija na web mjestu. To bi se, za LinkedIn, moglo pokazati kobno.
Pogotovo kada sadržaj otpada podataka postavlja ozbiljna pitanja o sigurnosnim politikama tvrtke. Početni popis sadrži korisničke vjerodajnice, ali prema Kevinu korisničke vjerodajnice nisu kriptirane ispravno.
“LinkedIn je trebao primijeniti hash i sol na svaku lozinku koja uključuje dodavanje nekoliko slučajnih znakova. Ova dinamična varijacija zaporki dodaje vremenski element da će korisnici, ako ih ukradu, imati dovoljno vremena da je promijene.”
Željela sam znati zašto su napadači čekali do četiri godine prije nego što su je iskopali na mračnu mrežu. Kevin je priznao da su napadači pokazali veliko strpljenje u prodaji, ali to je bilo vjerojatno jer su s njim eksperimentirali. “Pretpostavite da su oni kodirali oko toga dok su razvijali matematičke vjerojatnosti za proučavanje i razumijevanje trendova, ponašanja i eventualnog ponašanja lozinke. Zamislite razinu točnosti ako podnesete 117 000 000 stvarnih ulazaka kako biste stvorili krivulju i proučili fenomen!”
Kevin je također rekao da je vjerovatno da su procurile vjerodajnice korištene za kompromitiranje drugih usluga, poput Facebooka i računa e-pošte..
Razumljivo, Kevin je oštro kritičan zbog LinkedInovog odgovora na curenje. Opisao je to kao “jednostavno neadekvatno”. Najveća mu je zamjerka da tvrtka nije upozorila svoje korisnike na razmjere popusta kad se to dogodilo. Transparentnost je, kaže, važna.
Također žali zbog činjenice da LinkedIn nije poduzeo nikakve praktične korake da zaštiti svoje korisnike, kad se dogodilo curenje. “Da je tada LinkedIn poduzeo korektivne mjere, prisilio promjenu lozinke, a zatim surađivao s korisnicima kako bi ih educirao o najboljim sigurnosnim praksama, tada bi to bilo u redu.”. Kevin kaže da ako LinkedIn iskoristi curenje kao priliku da edukuje svoje korisnike o potrebi stvaranja jakih lozinki Kako generirati jake lozinke koje odgovaraju vašoj osobnosti Kako stvoriti jake lozinke koje odgovaraju vašoj osobnosti Bez jake lozinke brzo biste se mogli pronaći na kraj primanja cyber-zločina. Jedan od načina stvaranja nezaboravne lozinke mogao bi biti uspoređivanje s vašom osobnošću. koji se ne recikliraju, a obnavljaju se svakih devedeset dana, otpad bi danas imao manje vrijednosti.
Što korisnici mogu učiniti da zaštite sebe?
Kevin ne preporučuje korisnicima da se upuste u mračni web Putovanje u skriveni web: Vodič za nove istraživače Putovanje u skriveni web: Vodič za nove istraživače Ovaj priručnik vodi vas u obilazak mnogih razina dubokog weba : baze podataka i informacije dostupne u akademskim časopisima. Napokon ćemo stići do Torinih vrata. da vide jesu li na smeću. U stvari, kaže da nema razloga da korisnik potvrdi je li uopće pogođen. Prema Kevinu, svi korisnici trebali poduzeti odlučne korake da se zaštite.
Vrijedi dodati da će LinkedIn procuriti gotovo sigurno pronaći svoj put do Troy Hunt-a Have I Been Pwned, gdje korisnici sigurno mogu provjeriti njihov status.
Pa, što bi trebao učiniti? Prvo, kaže, korisnici bi se trebali odjaviti sa svojih LinkedIn računa na svim spojenim uređajima, a na jednom uređaju promijeniti lozinku. Učini ga jakim. Preporučuje ljudima da generiraju svoje lozinke pomoću generatora slučajnih lozinki. 5 načina generiranja sigurnih lozinki na Linuxu. 5 načina generiranja sigurnih lozinki na Linuxu Važno je koristiti snažne lozinke za svoje internetske račune. Bez sigurne zaporke, drugima je lako provaliti vašu. Međutim, možete dobiti računalo da odabere jedno za vas. .
Doduše, to su duge, neugledne lozinke i ljudi ih je teško upamtiti. To, kaže, ne predstavlja problem ako koristite upravitelj lozinki. “Postoji više besplatnih i uglednih, uključujući LogMeOnce.”
Naglašava da je odabir pravog upravitelja lozinki važan. “Izaberite upravitelj lozinki koji pomoću umetnute lozinke ubacuje lozinke u ispravna polja, a ne samo kopiranje i lijepljenje iz međuspremnika. To vam pomaže da izbjegnete hakerske napade putem keyloggera.”
Kevin također naglašava važnost upotrebe snažne matične lozinke u vašem upravitelju lozinki.
“Odaberite glavnu lozinku s više od 12 znakova. Ovo je ključ vašeg kraljevstva. Upotrijebite frazu za pamćenje poput “$ _Ja volim BaseBall $”. Za otklanjanje treba 5 godina”
Ljudi bi se također trebali pridržavati najboljih sigurnosnih praksi. To uključuje upotrebu dvofaktorske provjere autentičnosti Zaključajte ove usluge sada s dvofaktornom autentifikacijom zaključajte ove usluge sada s dvofaktorskom provjerom autentičnosti Dvofaktorska provjera identiteta je pametan način zaštite vaših mrežnih računa. Pogledajmo nekoliko usluga koje možete zaključati uz bolju sigurnost. . “Dvofaktorska provjera autentičnosti (2FA) sigurnosna je metoda koja zahtijeva da korisnik osigura dva sloja ili dijelove identifikacije. To znači da ćete zaštititi svoje vjerodajnice s dva sloja obrane - nečim što 'znate' (lozinkom) i nečim što 'imate' (jednokratni žeton)”.
Na kraju, Kevin preporučuje da LinkedIn korisnici obavijeste sve o svojoj haki kako bi i oni poduzeli zaštitne mjere.
Neprekidna glavobolja
Propuštanje više od stotinu milijuna zapisa iz baze podataka LinkedIna predstavlja trajni problem za tvrtku čiju su reputaciju ukazali drugi sigurnosni skandali visokih profila. Što će se dalje dogoditi je bilo tko nagađanje.
Ako kao karte puta koristimo hakere PSN i Ashley Madison, možemo očekivati da će cyber-kriminalci koji nisu povezani s izvornim hakom iskoristiti iskorištene podatke i upotrijebiti ih za iznuđivanje pogođenih korisnika. Također, možemo očekivati da će LinkedIn žustro se izviniti svojim korisnicima i ponuditi im nešto - možda gotovinu ili vjerojatnije, premijski račun na računu - kao znak muke. U svakom slučaju, korisnici moraju biti spremni na najgore i poduzimati proaktivne korake Zaštitite se godišnjom provjerom sigurnosti i privatnosti Zaštitite se godišnjom provjerom sigurnosti i privatnosti Gotovo smo dva mjeseca do nove godine, ali još uvijek ima vremena donijeti pozitivno rješenje. Zaboravite piti manje kofeina - govorimo o poduzimanju koraka za zaštitu mrežne sigurnosti i privatnosti. da se zaštite.
Kreditna slika: Sarah Joy putem Flickr-a