Το 2012, το LinkedIn χάθηκε από μια άγνωστη ρωσική οντότητα και έξι εκατομμύρια διαπιστευτήρια χρήστη διαρρεύσαν στο διαδίκτυο. Τέσσερα χρόνια αργότερα, έχει διαπιστωθεί ότι το hack ήταν πολύ χειρότερο από ό, τι αρχικά αναμενόταν. Σε μια έκθεση που δημοσιεύεται από τη Motherboard του Vice, ένας χάκερ που ονομάζεται Peace έχει πουλήσει 117 εκατομμύρια διαπιστευτήρια LinkedIn στο Dark Web για περίπου $ 2.200 στο Bitcoin.
Ενώ αυτό το επεισόδιο είναι ένας συνεχιζόμενος πονοκέφαλος για το LinkedIn, θα είναι αναπόφευκτα χειρότερο για χιλιάδες χρήστες των οποίων τα δεδομένα έχουν πιτσιλιστεί online. Βοηθώντας μου να το κατανοήσω είναι ο Κέβιν Σαμπάζι. κορυφαίος εμπειρογνώμονας στον τομέα της ασφάλειας, και ο διευθύνων σύμβουλος και ιδρυτής της LogMeOnce.
Κατανόηση της διαρροής LinkedIn: Πόσο κακό είναι πραγματικά;
Καθισμένος κάτω με τον Kevin, το πρώτο πράγμα που έκανε ήταν να τονίσει το τεράστιο μέγεθος αυτής της διαρροής. "Εάν η φιγούρα των 117 εκατομμυρίων διαβαθμισμένων διαπιστευτηρίων φαίνεται να φαίνεται γιγαντιαία, πρέπει να αναδιοργανώσετε τον εαυτό σας. Το πρώτο τρίμηνο του 2012, το LinkedIn είχε συνολικά 161 εκατομμύρια μέλη. Αυτό σημαίνει ότι οι χάκερ τότε δεν πήραν μόνο 117 εκατομμύρια δίσκους. "
"Στην ουσία, έβγαλαν ένα επιβλητικό 73% της συνολικής βάσης δεδομένων του μέλους της LinkedIn."
Αυτοί οι αριθμοί μιλούν από μόνα τους. Αν μετρήσετε τα δεδομένα καθαρά από την άποψη των αρχείων διαρρεύσει, συγκρίνεται με άλλα μεγάλα ονόματα hacks, όπως η διαρροή PlayStation Network του 2011, ή η διαρροή Ashley Madison από το προηγούμενο έτος 3 λόγοι για τους οποίους η Ashley Madison Hack είναι μια σοβαρή υπόθεση 3 λόγοι Γιατί το Ashley Madison Hack είναι μια σοβαρή υπόθεση Το Διαδίκτυο φαίνεται εκστατικό για το Ashley Madison hack, με τα εκατομμύρια των μοιχιών και των δυνητικών μοιχιών να χάνονται και να κυκλοφορούν στο διαδίκτυο, με άρθρα έξω από τα άτομα που βρίσκονται στο χωματερή. Ωραία, σωστά; Οχι τόσο γρήγορα. Διαβάστε περισσότερα . Ο Kevin ήταν πρόθυμος να τονίσει ότι αυτή η αμυχή είναι ένα θεμελιωδώς διαφορετικό κτήνος, ωστόσο. Επειδή ενώ το PSN χάκερ ήταν καθαρά για να αποκτήσει πληροφορίες πιστωτικών καρτών, και το Ashley Madison hack ήταν καθαρά για να προκαλέσει αμηχανία στην εταιρεία και τους χρήστες της, το hack της LinkedIn " απορροφά ένα επιχειρηματικό εστιασμένο κοινωνικό δίκτυο σε δυσπιστία". Θα μπορούσε να οδηγήσει τους ανθρώπους να αμφισβητούν την ακεραιότητα των αλληλεπιδράσεών τους στην περιοχή. Αυτό, για το LinkedIn, θα μπορούσε να αποβεί μοιραία.
Ειδικά όταν το περιεχόμενο της χωματερής δημιουργεί σοβαρά ερωτήματα σχετικά με τις πολιτικές ασφάλειας της εταιρείας. Η αρχική απόθεση περιελάμβανε τα διαπιστευτήρια χρήστη, αλλά σύμφωνα με τον Kevin, τα διαπιστευτήρια χρήστη δεν ήταν κρυπτογραφημένα σωστά.
"Το LinkedIn θα έπρεπε να έχει εφαρμόσει ένα hash και ένα αλάτι σε κάθε κωδικό που περιλαμβάνει την προσθήκη μερικών τυχαίων χαρακτήρων. Αυτή η δυναμική παραλλαγή προσθέτει ένα στοιχείο χρόνου στον κωδικό πρόσβασης, ότι αν κλαπεί, οι χρήστες θα έχουν αρκετό χρόνο για να το αλλάξουν. "
Ήθελα να μάθω γιατί οι επιτιθέμενοι περίμεναν μέχρι και τέσσερα χρόνια πριν να διαρρεύσουν στο σκοτεινό ιστό. Ο Κέβιν αναγνώρισε ότι οι επιτιθέμενοι είχαν δείξει μεγάλη υπομονή για την πώλησή τους, αλλά αυτό ήταν πιθανό επειδή πειραματίστηκαν με αυτό. "Πρέπει να υποθέσετε ότι κωδικοποιούσαν γύρω του, αναπτύσσοντας παράλληλα μαθηματικές πιθανότητες για να μελετήσουν και να κατανοήσουν τις τάσεις των χρηστών, τη συμπεριφορά και τελικά τη συμπεριφορά του κωδικού πρόσβασης. Φανταστείτε το επίπεδο ακρίβειας αν υποβάλλετε 117.000.000 πραγματικές εισροές για να δημιουργήσετε μια καμπύλη και να μελετήσετε ένα φαινόμενο! "
Ο Κέβιν δήλωσε επίσης ότι είναι πιθανό τα διαφυγόντα διαπιστευτήρια να χρησιμοποιηθούν για να υπονομεύσουν άλλες υπηρεσίες, όπως οι λογαριασμοί Facebook και email.
Είναι κατανοητό ότι ο Kevin είναι επικριτικά επικριτικός ως προς την ανταπόκριση της LinkedIn στη διαρροή. Το περιέγραψε ως "απλά ανεπαρκές". Το μεγαλύτερο παράπονό του είναι ότι η εταιρεία δεν ειδοποίησε τους χρήστες τους για την κλίμακα του πίσω ισχίου όταν συνέβη. Η διαφάνεια, λέει, είναι σημαντική.
Επίσης, εκφράζει τη λύπη του για το γεγονός ότι η LinkedIn δεν έλαβε κανένα πρακτικό βήμα για να προστατεύσει τους χρήστες της, όταν η διαρροή συνέβη. "Αν η LinkedIn είχε λάβει τότε διορθωτικά μέτρα, ανάγκασε μια αλλαγή κωδικού πρόσβασης και έπειτα συνεργάστηκε με τους χρήστες για να τους εκπαιδεύσει για τις βέλτιστες πρακτικές ασφαλείας, τότε αυτό θα ήταν εντάξει". Ο Kevin λέει ότι αν η LinkedIn χρησιμοποίησε τη διαρροή ως ευκαιρία να εκπαιδεύσει τους χρήστες για την ανάγκη δημιουργίας ισχυρών κωδικών πρόσβασης Πώς να δημιουργήσετε ισχυρούς κωδικούς πρόσβασης που ταιριάζουν με την προσωπικότητά σας Πώς να δημιουργήσετε ισχυρούς κωδικούς πρόσβασης που ταιριάζουν με την προσωπικότητά σας Χωρίς ισχυρό κωδικό πρόσβασης, το τέλος λήψης ενός εγκλήματος στον κυβερνοχώρο. Ένας τρόπος για να δημιουργήσετε έναν αξέχαστο κωδικό πρόσβασης θα μπορούσε να είναι να ταιριάζει με την προσωπικότητά σας. Διαβάστε περισσότερα που δεν ανακυκλώνονται και ανανεώνονται κάθε ενενήντα ημέρες, η χωματερή δεδομένων θα είχε σήμερα μικρότερη αξία.
Τι μπορούν να κάνουν οι χρήστες για να προστατεύσουν τον εαυτό τους;
Ο Κέβιν δεν συνιστά να ταξιδεύουν οι χρήστες στο Dark Web Ταξίδι στον κρυμμένο ιστό: Ένας οδηγός για νέους ερευνητές Ταξίδι στον κρυμμένο ιστό: Ένας οδηγός για νέους ερευνητές Αυτό το εγχειρίδιο θα σας οδηγήσει σε μια περιήγηση μέσα από τα πολλά επίπεδα του βαθύ web : βάσεις δεδομένων και πληροφορίες διαθέσιμες σε ακαδημαϊκά περιοδικά. Τέλος, φτάνουμε στις πύλες του Tor. Διαβάστε περισσότερα για να δείτε αν βρίσκονται στο χωματόδρομο. Στην πραγματικότητα, λέει ότι δεν υπάρχει κανένας λόγος για έναν χρήστη να επιβεβαιώσει εάν έχουν επηρεαστεί καθόλου. Σύμφωνα με τον Kevin, όλοι οι χρήστες πρέπει να λάβουν αποφασιστικά μέτρα για να προστατευθούν.
Αξίζει να προσθέσετε ότι η διαρροή του LinkedIn θα βρεθεί σχεδόν σίγουρα στο δρόμο προς την Troy Hunt's Have I Pwned, όπου οι χρήστες μπορούν να ελέγξουν με ασφάλεια την κατάστασή τους.
Λοιπόν, τι πρέπει να κάνετε; Πρώτον, λέει, οι χρήστες θα πρέπει να αποσυνδεθούν από τους λογαριασμούς τους LinkedIn σε όλες τις συνδεδεμένες συσκευές και σε μία συσκευή να αλλάξουν τον κωδικό πρόσβασής τους. Κάντε το ισχυρό. Συνιστά τους ανθρώπους να δημιουργήσουν τους κωδικούς πρόσβασης χρησιμοποιώντας μια τυχαία γεννήτρια κωδικού πρόσβασης 5 τρόποι για να δημιουργήσετε ασφαλείς κωδικούς πρόσβασης στο Linux 5 τρόποι για να δημιουργήσετε ασφαλείς κωδικούς πρόσβασης στο Linux Είναι σημαντικό να χρησιμοποιήσετε ισχυρούς κωδικούς πρόσβασης για τους λογαριασμούς σας στο διαδίκτυο. Χωρίς ασφαλή κωδικό πρόσβασης, είναι εύκολο για τους άλλους να σπάσουν τη δική σας. Ωστόσο, μπορείτε να πάρετε τον υπολογιστή σας για να επιλέξετε ένα για εσάς. Διαβάστε περισσότερα .
Είναι βέβαιο ότι πρόκειται για μακρινούς, δύσχρηστους κωδικούς πρόσβασης και είναι δύσκολο για τους ανθρώπους να απομνημονεύουν. Αυτό, λέει, δεν είναι πρόβλημα αν χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης. "Υπάρχουν πολλά δωρεάν και αξιόπιστα, συμπεριλαμβανομένου του LogMeOnce."
Τονίζει ότι η επιλογή του σωστού διαχειριστή κωδικών είναι σημαντική. "Διαλέξτε έναν διαχειριστή κωδικών πρόσβασης που χρησιμοποιεί" ένεση "για να εισαγάγετε κωδικούς πρόσβασης στα σωστά πεδία και όχι απλά να αντιγράψετε και να επικολλήσετε από το πρόχειρο. Αυτό σας βοηθά να αποφύγετε τις επιθέσεις hack μέσω keyloggers. "
Ο Kevin τονίζει επίσης τη σημασία της χρήσης ενός ισχυρού κύριου κωδικού πρόσβασης στον διαχειριστή κωδικών σας.
Msgstr "Επιλέξτε έναν κύριο κωδικό πρόσβασης που να έχει περισσότερους από 12 χαρακτήρες. Αυτό είναι το κλειδί για το βασίλειό σας. Χρησιμοποιήστε μια φράση για να θυμάστε όπως "$ _I Love BaseBall $". Αυτό απαιτεί περίπου 5 Septillion χρόνια για να σπάσει "
Οι άνθρωποι πρέπει επίσης να τηρούν τις βέλτιστες πρακτικές ασφαλείας. Αυτό περιλαμβάνει τη χρήση ελέγχου ταυτότητας δύο παραγόντων Κλείδωμα αυτών των υπηρεσιών τώρα με έλεγχο ταυτότητας δύο παραγόντων Κλείδωμα αυτών των υπηρεσιών τώρα με έλεγχο ταυτότητας δύο στοιχείων Ο έλεγχος ταυτότητας δύο παραγόντων είναι ο έξυπνος τρόπος για την προστασία των online λογαριασμών σας. Ας ρίξουμε μια ματιά σε μερικές από τις υπηρεσίες που μπορείτε να κλειδώσετε-κάτω με την καλύτερη ασφάλεια. Διαβάστε περισσότερα . "Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) είναι μια μέθοδος ασφαλείας που απαιτεί από τον χρήστη να παρέχει δύο στρώματα ή τμήματα αναγνώρισης. Αυτό σημαίνει ότι θα προστατεύσετε τα διαπιστευτήριά σας με δύο επίπεδα άμυνας - κάτι που γνωρίζετε (κωδικός πρόσβασης) και κάτι που έχετε "(ένα εφάπαξ σήμα)".
Τέλος, ο Kevin συνιστά στους χρήστες του LinkedIn να ειδοποιήσουν όλους στο δίκτυό τους για το hack, ώστε και αυτοί να μπορούν να λάβουν προστατευτικά μέτρα.
Ένας συνεχιζόμενος πονοκέφαλος
Η διαρροή πάνω από εκατό εκατομμυρίων αρχείων από τη βάση δεδομένων του LinkedIn αντιπροσωπεύει ένα συνεχιζόμενο πρόβλημα για μια εταιρεία η φήμη της οποίας έχει μολυνθεί από άλλα σκάνδαλα ασφαλείας υψηλού προφίλ. Αυτό που συμβαίνει στη συνέχεια είναι η εικασία κανενός.
Αν χρησιμοποιούμε τους χάρτες PSN και Ashley Madison ως τους οδικούς χάρτες μας, μπορούμε να περιμένουμε κυβερνητικούς εγκληματίες που δεν σχετίζονται με την αρχική χάκ για να εκμεταλλευτούν τα διαφυλισμένα δεδομένα και να τα χρησιμοποιήσουν για να εξαπολύσουν τους επηρεαζόμενους χρήστες. Μπορούμε επίσης να περιμένουμε από το LinkedIn να ζητήσει συγνώμη από τους χρήστες του και να τους προσφέρει κάτι - ίσως μετρητά ή πιθανότατα μια πίστωση λογαριασμού premium - ως συμβολικό συμβόλαιο. Είτε έτσι είτε αλλιώς, οι χρήστες πρέπει να είναι προετοιμασμένοι για το χειρότερο και να λάβουν προληπτικά βήματα Προστατεύστε τον εαυτό σας με μια ετήσια ασφάλεια και προστασία ιδιωτικού απορρήτου Προστατεύστε τον εαυτό σας με μια ετήσια ασφάλεια και έλεγχος ιδιωτικού απορρήτου Είμαστε σχεδόν δύο μήνες από το νέο έτος, μια θετική λύση. Ξεχάστε να καταναλώσετε λιγότερη καφεΐνη - μιλάμε για τη λήψη μέτρων για την προστασία της ασφάλειας και της ιδιωτικής ζωής στο διαδίκτυο. Διαβάστε περισσότερα για να προστατευθείτε.
Image Credit: Η Sarah Joy μέσω του Flickr