Yahoo! Izgubili smo vaše podatke! Prije dvije godine…

  • Gabriel Brooks
  • 0
  • 3097
  • 544
Oglas

Web gigant Yahoo pretrpio je ogromno kršenje podataka. Prekršaj, koji se dogodio 2014. godine, rezultirao je informacijama da je 500 milijuna Yahooovih korisnika ponuđeno na prodaju na mračnom webu. 6 Malo poznatih kutova dubokog weba zapravo možete poput 6 malo poznatih kutova dubokog interneta Zapravo kao i duboki web ima lošu reputaciju - gotovo svaka loša stvar na koju se možete sjetiti dostupna je tamo. No, postoje i neke stvarno sjajne stvari koje biste možda željeli provjeriti. .

Kreditna slika: Ken Wolter putem Shutterstock.com

Opseg krađe patuljaka je druga nedavna, krupnija kršenja podataka, a sigurnosne prakse Yahoo-a stavljaju pod svjetlo reflektora..

Što se dogodilo?

Yahoo je izdao izjavu kojom potvrđuje i detaljan prekršaj sigurnosti, tvrdeći da je podatke ukrao “državnim pokroviteljstvom” hakeri. Informacije, uključujući imena, adrese e-pošte, telefonske brojeve i sigurnosna pitanja, ukradene su tvrtki u 2014. godini.

“Nedavna istraga Yahooa potvrdila je da je kopija određenih informacija o korisničkim računima ukradena s naše mreže krajem 2014. godine, za što vjerujemo da je akter sponzoriran od strane države. Blisko surađujemo s tijelima za provođenje zakona i obavještavamo potencijalno pogođene korisnike o načinima na koji mogu dodatno osigurati svoje račune.”

Jedan mali pozitivni rezultat dolazi do saznanja koje kršenje nije sadržavalo “nezaštićene lozinke, podatke o platnim karticama ili podatke o bankovnom računu.” Unatoč tome, izjave koje je izdao Yahoo pokrenut će dodatna pitanja istraživača sigurnosti u vezi s vremenskim rasporedom događaja kao i radnjama tvrtke u danima nakon kršenja..

POKRIVANJE: 500 milijuna #Yahoo računa kompromitirano u 2014. Hack. U ostalim šokantnim vijestima, 500 milijuna ljudi ima Yahoo račune.

- Ben Canner (@InfoSec_Review) 22. rujna 2016

Postavljanje važnih pitanja

Čvrsto, na vrhu će jednostavno biti popis mnogih istraživača sigurnosti “zašto je trebalo toliko vremena da se potvrdi hack Zašto tvrtke koje krše kršenja mogu biti dobra stvar Zašto tvrtke koje krše kršenja mogu biti dobra stvar S toliko informacija na mreži, svi se brinemo o potencijalnim narušavanjima sigurnosti. Ali ta se kršenja mogu zadržati u tajnosti u SAD-u kako bi vas zaštitila. Zvuči ludo, pa što se događa? ove ljestvice?” To se lako upada u tuđa pitanja. Zašto je Yahoou trebalo toliko vremena da obavijesti svoje korisnike o kršenju?

Yahoo sada kupcima šalje obavijesti o kršenju: pic.twitter.com/AjbDJYQCIH

- Trojanski lov (@troyhunt) 23. rujna 2016

Zbunjujuća je i pojava napada koji financira država. Do sada, Yahoo nije uspio iznijeti nijedan dokaz koji bi to kršenje povezao s akterom nacionalne države, iako su za Reuters potvrdila tri američka obavještajna dužnosnika - koji su odbili biti identificirani imenom:

“... vjerovali su da je napad sponzorirao država zbog sličnosti s prijašnjim hakovima koji su pronađeni u ruskim obavještajnim agencijama ili hakerima koji djeluju u njihovoj režiji.”

Čak i ako je kršenje slično prethodnim napadima na nacionalnu državu Kad vlade napadaju: Nation-State Malware Exposed When Vladities Attack: Nation-State Malware Exposed Cyberwar se trenutno odvija, skriven internetom, njegovi se rezultati rijetko primjećuju. Ali tko su igrači ovog ratnog teatra i koja su njihova oružja? , ta kršenja obično ne rezultiraju objavljivanjem privatnih podataka korisnika. Rjeđe još uvijek pronalaze one vjerodajnice reklamirane za prodaju na mračnom webu. Evo koliko vam identiteta može biti vrijedno na mračnom webu Evo koliko može biti vrijedan vaš identitet na mračnom webu Nije neugodno razmišljati o sebi kao robi, ali o svemu vaši osobni podaci, od imena i adrese do podataka o bankovnom računu, vrijede nešto za internetske kriminalce. Koliko vrijediš? .

Dodavanje daljnjih spletki je identitet pojedinačnog prodavača dijela kršenja podataka. Korisnik po imenu “Mir uma,” koji su također prodali deponije podataka o kršenjima MySpacea i LinkedIna, aktivno je provlačio podatke.

Kreditna slika: adike putem Shutterstocka

Jeremiah Grossman, šef sigurnosne strategije u SentinelOneu, rekao je “Iako znamo da su informacije ukradene krajem 2014., nemamo naznake kada je Yahoo prvi put saznao za ovo kršenje. Ovo je važan detalj u priči.”

Grossman vjeruje da je mir uma bio “profiterski haker” vrlo je malo vjerojatno da bi dobili sponzorstvo države; stoga, “to znači da je moguće da gledamo dva različita Yahoo-ova kršenja s dvije različite hakerske grupe u njihovom sustavu.”

“Ogroman broj ljudi pogođenih ovim cyber napadom zadivljuje i pokazuje koliko ozbiljne mogu biti posljedice sigurnosnog haka ... Još uvijek ne znamo sve detalje kako se ovaj hak dogodio, ali ovdje je otrežnjujuća i važna poruka za tvrtke koje nabavljaju i obrađuju osobne podatke. Osobni podaci ljudi moraju biti zaštićeni pod ključem - a taj ključ hakeri ne mogu pronaći.” - Povjerenica za informiranje Ujedinjenog Kraljevstva Elizabeth Denham

Koliko je ovo ozbiljno?

Izjava Yahooa potvrdila je da je velika većina ukradenih lozinki hashed s bcryptom. Hashing je proces pretvaranja lozinke u fiksnu duljinu “otisak prsta” koja se povlači i provjerava kada se korisnik pokuša prijaviti. To je osnovna metoda zaštite podataka korisnika Svaka sigurna web stranica čini to svojom lozinkom Svaka sigurna web lokacija to čini vašom lozinkom Jeste li se ikad zapitali kako web stranice čuvaju vašu lozinku od kršenja podataka? , ali neka web mjesta još uvijek zanemaruju 7 najobičnijih taktika koje se koriste za hakiranje lozinki. 7 najčešćih taktika koje se koriste za hakiranje lozinki Kada čujete "narušavanje sigurnosti", što vam pada na pamet? Zlonamjerni haker? Neko dijete u podrumu? Realnost je sve što je potrebno zaporka, a hakeri imaju 7 načina da dobiju svoje. .

Bcrypt se smatra sigurnom metodom usitnjavanja jer su i heševi “posoljen,” Kako web stranice čuvaju vaše lozinke? Kako web stranice čuvaju vaše lozinke? S redovitim prijavljivanjima kršenja sigurnosti na mreži, nesumnjivo ste zabrinuti kako web stranice čuvaju vašu lozinku. Zapravo, radi mira, ovo je sve što moraju znati ... postupak u kojem će svaki hash biti drugačiji, čak i ako štiti istu lozinku.

Lozinke su iritantne, ali lako ih se mijenjaju; djevojačko prezime majke nije. Hakeri su također prekršili otvorena sigurnosna pitanja. Sigurnosna pitanja odavno su pod budnom pažnjom Kako stvoriti sigurnosno pitanje koje nitko drugi ne može pretpostaviti kako stvoriti sigurnosno pitanje koje nitko drugi ne može pretpostaviti Posljednjih tjedana puno sam pisao o tome kako izvršiti povrat računa na mreži. Tipična sigurnosna opcija je postavljanje sigurnosnog pitanja. Iako ovo potencijalno omogućuje brz i jednostavan način ... za njihovu ulogu u identificiranju korisničkih računa u prethodnim kršenjima, ipak čine glavnu značajinu većine sustava za prijavu korisničkih računa..

U skladu s tim, Yahoo je svim svojim korisnicima poslao poruku o ponovnom postavljanju zaporke. Potiču svoje korisnike da:

  • Promijenite zaporku i sigurnosna pitanja i odgovore za bilo koji drugi račun na kojem koristite iste ili slične vjerodajnice kao i oni koji se koriste za vaš Yahoo račun.
  • Pregledajte svoje račune zbog sumnjivih aktivnosti.
  • Budite oprezni u bilo kojoj nepoželjnoj komunikaciji koja traži vaše osobne podatke ili vas uputite na web stranicu koja traži osobne podatke.
  • Izbjegavajte klikovanje na linkove ili prenošenje privitaka iz sumnjivih e-poruka.

Ne možemo dovoljno naglasiti prvi prijedlog. Također savjetujemo našim čitateljima da razmotre i druge web stranice za koje su možda koristili svoje vjerodajnice za prijavu, poput usluge Flickr za pohranu fotografija ili web stranice za društvene oznake Del.icio.us.

Možda ste stvorili Yahoo račun ne shvaćajući da je nesiguran.

Veliki stari prekršaj

Yahoo sada uzima neželjenu krunu Što trebate znati o masovnim LinkedIn računima Procurite što trebate znati o masovnim LinkedIn računima Propuštanje haker prodaje 117 milijuna hakiranih LinkedIn-ovih vjerodajnica na Mračnom webu za oko 2200 dolara u Bitcoin-u. Kevin Shabazi, izvršni direktor i osnivač LogMeOncea, pomaže nam da razumijemo samo ono što je u riziku. : najveće kršenje korporativnih podataka u povijesti.

  • Yahoo - 500 milijuna korisničkih vjerodajnica
  • MySpace - 359m
  • LinkedIn - 164m
  • Adobe - 152m
  • Badoo - 112m

U srpnju 2016. američki telekomunikacijski gigant Verizon zaradio je 5 milijardi dolara vrijednu kupovinu internetskog poslovanja Yahooa. Iako se ne očekuje da će ovo kršenje utjecati na preuzimanje.

Verizon izjava danas popodne u vezi s Yahoo sigurnosnim incidentom. $ VZ pic.twitter.com/KQTnyrjlJy

- Bob Varettoni (@bvar) 22. rujna 2016

Naš savjet ostaje isti kao kod svih većih povreda podataka. Poništite zaporke. U narednim tjednima i mjesecima pažljivo proučite svoje e-poruke i SMS poruke. Zapamti nikad ne upotrebljavajte vjerodajnice računa.

Ponovna upotreba vjerodajnica; ni jednom.

Je li vaš račun ugrožen? Jeste li iznenađeni koliko dugo je Yahoo trebao djelovati? Koja će glavna usluga sljedeće biti prekršena? Javite nam svoje misli u nastavku!




Još ne komentari

O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.