Διαφήμιση

Ο διαδικτυακός γίγαντας Yahoo υπέστη τεράστια παραβίαση δεδομένων. Η παραβίαση, η οποία πραγματοποιήθηκε το 2014, είχε ως αποτέλεσμα την ενημέρωση 500 εκατομμυρίων χρηστών Yahoo προσφέρεται προς πώληση στον σκοτεινό ιστό 10 Μικρές Γωνίες του Deep Web που μπορεί να σας αρέσουνΟ σκοτεινός ιστός έχει κακή φήμη, αλλά υπάρχουν μερικοί πραγματικά χρήσιμοι ιστότοποι σκοτεινού ιστότοπου που ίσως θέλετε να δείτε. Διαβάστε περισσότερα .

Πιστωτική εικόνα: Ken Wolter μέσω του Shutterstock.com
Πιστωτική εικόνα: Ken Wolter μέσω του Shutterstock.com

Η κλίμακα της κλοπής επισκιάζει άλλες πρόσφατες, σημαντικές παραβιάσεις δεδομένων και τοποθετεί τις πρακτικές ασφαλείας στη Yahoo σταθερά υπό το φως.

Τι παραβιάστηκε;

Το Yahoo εξέδωσε δήλωση επιβεβαίωση και λεπτομερής παραβίαση της ασφάλειας, διατυπώνοντας τον ισχυρισμό ότι τα δεδομένα είχαν κλαπεί από χάκερ «κρατικούς χορηγούς». Πληροφορίες, συμπεριλαμβανομένων των ονομάτων, των διευθύνσεων ηλεκτρονικού ταχυδρομείου, των αριθμών τηλεφώνου και των ερωτήσεων ασφαλείας, κλέφθηκαν από την εταιρεία το 2014.

«Μια πρόσφατη έρευνα της Yahoo επιβεβαίωσε ότι ένα αντίγραφο συγκεκριμένων πληροφοριών λογαριασμού χρήστη κλαπεί από το δίκτυό μας στα τέλη του 2014 από αυτό που πιστεύουμε ότι είναι ένας κρατικός φορέας. Συνεργαζόμαστε στενά με τις αρχές επιβολής του νόμου και ενημερώνουμε τους δυνητικά επηρεαζόμενους χρήστες σχετικά με τους τρόπους με τους οποίους μπορούν να προστατεύσουν περαιτέρω τους λογαριασμούς τους. "

instagram viewer

Ένα μικρό θετικό φτάνει στη γνώση ότι η παράβαση δεν περιείχε "μη προστατευμένους κωδικούς πρόσβασης, δεδομένα κάρτας πληρωμής ή στοιχεία τραπεζικού λογαριασμού". Ωστόσο, το δηλώσεις που εκδίδονται από το Yahoo θα εγείρουν περαιτέρω ερωτήματα από ερευνητές ασφαλείας σχετικά με το χρονοδιάγραμμα των γεγονότων, καθώς και τις ενέργειες της εταιρείας τις επόμενες ημέρες η παραβίαση.

ΔΙΑΚΟΠΗ: 500 εκατομμύρια # Ναι Λογαριασμοί συμβιβασμένοι το 2014 Hack. Σε άλλες συγκλονιστικές ειδήσεις, 500 εκατομμύρια άνθρωποι έχουν λογαριασμούς Yahoo.

- Ben Canner (@InfoSec_Review) 22 Σεπτεμβρίου 2016

Δημιουργία σημαντικών ερωτήσεων

Ακριβώς πάνω από πολλούς ερευνητές ασφαλείας λίστα ερωτήσεων θα είναι απλώς «γιατί χρειάστηκε τόσο πολύς χρόνος για να επιβεβαιωθεί η παραβίαση Γιατί οι εταιρείες που παραβιάζουν ένα μυστικό θα μπορούσαν να είναι ένα καλό πράγμαΜε τόσες πολλές πληροφορίες στο διαδίκτυο, όλοι ανησυχούμε για πιθανές παραβιάσεις ασφάλειας. Αλλά αυτές οι παραβιάσεις θα μπορούσαν να κρατηθούν μυστικές στις ΗΠΑ για να σας προστατεύσουν. Ακούγεται τρελό, οπότε τι συμβαίνει; Διαβάστε περισσότερα αυτής της κλίμακας; " Αυτό χωρίζει εύκολα και σε άλλες ερωτήσεις. Γιατί χρειάστηκε τόσο πολύ το Yahoo για να ενημερώσει τους χρήστες του για την παραβίαση;

Η Yahoo στέλνει τώρα ειδοποιήσεις παραβίασης στους πελάτες: pic.twitter.com/AjbDJYQCIH

- Troy Hunt (@troyhunt) 23 Σεπτεμβρίου 2016

Η ιδέα μιας επίθεσης που χρηματοδοτείται από το κράτος είναι επίσης προβληματική. Μέχρι στιγμής, το Yahoo δεν κατάφερε να προσκομίσει στοιχεία που να συνδέουν την παραβίαση με έναν ηθοποιό έθνους-κράτους, αν και τρεις αξιωματούχοι των ΗΠΑ - που αρνήθηκαν να προσδιοριστούν με το όνομα - επιβεβαιώθηκε στο Reuters:

«… Πίστευαν ότι η επίθεση χρηματοδοτήθηκε από το κράτος λόγω της ομοιότητάς της με προηγούμενες παραβιάσεις που εντοπίστηκαν σε ρωσικές υπηρεσίες πληροφοριών ή χάκερ που ενεργούσαν υπό την καθοδήγησή τους».

Ακόμα κι αν η παραβίαση είχε ομοιότητα με προηγούμενες επιθέσεις έθνους-κράτους Όταν οι κυβερνήσεις επιτίθενται: Κακόβουλο λογισμικό Nation-StateΈνας κυβερνοχώρος λαμβάνει χώρα αυτή τη στιγμή, κρυμμένος από το Διαδίκτυο, τα αποτελέσματά του σπάνια παρατηρούνται. Αλλά ποιοι είναι οι παίκτες σε αυτό το θέατρο πολέμου, και ποια είναι τα όπλα τους; Διαβάστε περισσότερα , αυτές οι παραβιάσεις δεν οδηγούν συνήθως στην αποδέσμευση δεδομένων ιδιωτικών χρηστών. Ο Rarer τα βρίσκει ακόμα διαπιστευτήρια που διαφημίζονται προς πώληση στον σκοτεινό ιστό Ακολουθεί η αξία της ταυτότητάς σας στο Dark WebΕίναι άβολο να θεωρείτε τον εαυτό σας ως εμπόρευμα, αλλά όλα τα προσωπικά σας στοιχεία, από το όνομα και τη διεύθυνση έως τα στοιχεία του τραπεζικού λογαριασμού, αξίζουν κάτι για τους διαδικτυακούς εγκληματίες. Πόσο αξίζετε; Διαβάστε περισσότερα .

Η προσθήκη περαιτέρω ίντριγκας είναι η ταυτότητα του μεμονωμένου τμήματος πώλησης της παραβίασης δεδομένων. Ένας χρήστης με το όνομα "Peace of Mind", ο οποίος είχε πουλήσει επίσης απόρριψη δεδομένων των παραβιάσεων του MySpace και του LinkedIn, έπαιρνε ενεργά τα δεδομένα.

χάκερ
Πιστωτική εικόνα: adike μέσω του Shutterstock

Ο Jerry Grossman, επικεφαλής της στρατηγικής ασφαλείας στο SentinelOne, είπε «Ενώ γνωρίζουμε ότι οι πληροφορίες έχουν κλαπεί στα τέλη του 2014, δεν έχουμε καμία ένδειξη για το πότε το Yahoo έμαθε για πρώτη φορά αυτήν την παραβίαση. Αυτή είναι μια σημαντική λεπτομέρεια στην ιστορία. "

Ο Γκρόσμαν πιστεύει ότι καθώς η Ειρήνη του Νου ήταν «κερδοφόρος χάκερ», θα ήταν πολύ απίθανο να έχουν λάβει κρατική χορηγία. Κατά συνέπεια, "αυτό σημαίνει ότι είναι πιθανό να εξετάζουμε δύο διαφορετικές παραβιάσεις του Yahoo με δύο διαφορετικές ομάδες hacking στο σύστημά τους."

«Ο τεράστιος αριθμός ατόμων που πλήττονται από αυτήν την επίθεση στον κυβερνοχώρο είναι εκπληκτικό και δείχνει πόσο σοβαρές είναι οι συνέπειες ενός hacking ασφαλείας… εμείς δεν γνωρίζω ακόμη όλες τις λεπτομέρειες για το πώς συνέβη αυτό το hack, αλλά υπάρχει ένα απογοητευτικό και σημαντικό μήνυμα εδώ για εταιρείες που αποκτούν και διαχειρίζονται προσωπικά δεδομένα. Τα προσωπικά στοιχεία των ατόμων πρέπει να προστατεύονται με ασφάλεια με κλειδαριά και κλειδί - και αυτό το κλειδί πρέπει να είναι αδύνατο να βρουν οι χάκερ. " - Επίτροπος πληροφοριών του Ηνωμένου Βασιλείου Elizabeth Denham

Πόσο σοβαρό είναι αυτό;

Η δήλωση του Yahoo επιβεβαίωσε ότι η συντριπτική πλειονότητα των κλεμμένων κωδικών πρόσβασης κατακερματιστεί χρησιμοποιώντας το bcrypt. Το κατακερματισμό είναι η διαδικασία μετατροπής ενός κωδικού πρόσβασης σε "δακτυλικό αποτύπωμα" σταθερού μήκους που ανακαλείται και ελέγχεται όταν ένας χρήστης προσπαθεί να συνδεθεί. Είναι μια βασική μέθοδος προστασίας των πληροφοριών των χρηστών Κάθε ασφαλής ιστότοπος το κάνει αυτό με τον κωδικό πρόσβασής σαςΑναρωτηθήκατε ποτέ πώς οι ιστότοποι διατηρούν τον κωδικό πρόσβασής σας ασφαλή από παραβιάσεις δεδομένων; Διαβάστε περισσότερα , όμως είναι παραβλέπεται ακόμα από ορισμένους ιστότοπους Οι 7 πιο κοινές τακτικές που χρησιμοποιούνται για την παραβίαση κωδικών πρόσβασηςΌταν ακούτε "παραβίαση ασφαλείας", τι θυμίζει; Ένας κακόβουλος χάκερ; Κάποιο παιδί στο υπόγειο; Η πραγματικότητα είναι ότι το μόνο που χρειάζεται είναι ένας κωδικός πρόσβασης και οι χάκερ έχουν 7 τρόπους για να αποκτήσουν το δικό σας. Διαβάστε περισσότερα .

Το Bcrypt θεωρείται ασφαλής μέθοδος κατακερματισμού ως τα hashes είναι επίσης «αλατισμένα» Πώς διατηρούν οι ιστότοποι ασφαλείς τους κωδικούς πρόσβασης;Με τις τακτικές διαδικτυακές παραβιάσεις ασφαλείας, αναμφίβολα ανησυχείτε για το πώς οι ιστότοποι φροντίζουν τον κωδικό πρόσβασής σας. Στην πραγματικότητα, για την ηρεμία, αυτό είναι κάτι που όλοι πρέπει να γνωρίζουν… Διαβάστε περισσότερα μια διαδικασία όπου κάθε κατακερματισμός θα είναι διαφορετικός, ακόμη και αν προστατεύει τον ίδιο κωδικό πρόσβασης.

Οι κωδικοί πρόσβασης είναι ενοχλητικοί αλλά είναι εύκολο να αλλάξουν. το πατρικό όνομα μιας μητέρας δεν είναι. Οι χάκερ παραβίασαν επίσης ερωτήσεις ασφαλείας απλού κειμένου. Τα ζητήματα ασφαλείας έχουν εξεταστεί εδώ και πολύ καιρό Πώς να δημιουργήσετε μια ερώτηση ασφαλείας που κανείς άλλος δεν μπορεί να μαντέψειΤις τελευταίες εβδομάδες έχω γράψει πολλά για το πώς να κάνω ανακτήσιμους λογαριασμούς στο διαδίκτυο. Μια τυπική επιλογή ασφάλειας είναι η δημιουργία μιας ερώτησης ασφαλείας. Ενώ αυτό παρέχει δυνητικά έναν γρήγορο και εύκολο τρόπο ... Διαβάστε περισσότερα για τον ρόλο τους στον εντοπισμό λογαριασμών χρηστών σε προηγούμενες παραβιάσεις, ωστόσο εξακολουθούν να αποτελούν πρωταρχικό χαρακτηριστικό των περισσότερων συστημάτων σύνδεσης λογαριασμών χρηστών.

Κατά συνέπεια, η Yahoo έστειλε σε όλους τους χρήστες ένα μήνυμα επαναφοράς κωδικού πρόσβασης. Ενθαρρύνουν τους χρήστες τους να:

  • Αλλάξτε τον κωδικό πρόσβασης και τις ερωτήσεις και απαντήσεις ασφαλείας για άλλους λογαριασμούς στους οποίους χρησιμοποιείτε τα ίδια ή παρόμοια διαπιστευτήρια με αυτά που χρησιμοποιούνται για τον λογαριασμό σας στο Yahoo.
  • Ελέγξτε τους λογαριασμούς σας για ύποπτη δραστηριότητα.
  • Να είστε προσεκτικοί για τυχόν ανεπιθύμητες επικοινωνίες που ζητούν τα προσωπικά σας στοιχεία ή σας παραπέμπουν σε μια ιστοσελίδα που ζητά προσωπικά στοιχεία.
  • Αποφύγετε να κάνετε κλικ σε συνδέσμους ή να κατεβάσετε συνημμένα από ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου.

Δεν μπορούμε να δώσουμε αρκετή έμφαση στην πρώτη πρόταση. Σας συμβουλεύουμε επίσης τους αναγνώστες μας να λάβουν υπόψη τους άλλους ιστότοπους με τους οποίους ενδέχεται να έχουν χρησιμοποιήσει τα διαπιστευτήριά τους, όπως η υπηρεσία αποθήκευσης φωτογραφιών Flickr ή ο ιστότοπος κοινωνικών σελιδοδεικτών Del.icio.us.

Μπορεί να έχετε δημιουργήσει έναν λογαριασμό Yahoo χωρίς να συνειδητοποιήσετε ότι ήταν ανασφαλής.

Ένα μεγάλο παλιό παραβίαση

Yahoo τώρα παίρνει ένα ανεπιθύμητο στέμμα Τι πρέπει να ξέρετε για τη μαζική διαρροή λογαριασμών LinkedInΈνας χάκερ πωλεί 117 εκατομμύρια παραβιασμένα διαπιστευτήρια του LinkedIn στο Dark web για περίπου 2.200 $ σε Bitcoin. Ο Kevin Shabazi, Διευθύνων Σύμβουλος και ιδρυτής της LogMeOnce, μας βοηθά να κατανοήσουμε τι διατρέχει κίνδυνο. Διαβάστε περισσότερα : η μεγαλύτερη παραβίαση εταιρικών δεδομένων στην ιστορία.

  • Yahoo - 500 εκατομμύρια διαπιστευτήρια χρήστη
  • MySpace - 359μ
  • LinkedIn - 164μ
  • Adobe - 152μ
  • Badoo - 112μ

Τον Ιούλιο του 2016, ο γίγαντας τηλεπικοινωνιών των ΗΠΑ Verizon πραγματοποίησε την εξαγορά της επιχείρησης διαδικτύου της Yahoo ύψους 5 δισ. Δολαρίων. Ωστόσο, αυτή η παραβίαση δεν αναμένεται να επηρεάσει την εξαγορά.

Δήλωση της Verizon σήμερα το απόγευμα σχετικά με το συμβάν ασφαλείας στο Yahoo. $ VZpic.twitter.com/KQTnyrjlJy

- Bob Varettoni (@bvar) 22 Σεπτεμβρίου 2016

Οι συμβουλές μας παραμένουν οι ίδιες με οποιαδήποτε σημαντική παραβίαση δεδομένων. Επαναφέρετε τους κωδικούς πρόσβασης. Επίσης, ελέγξτε τα email σας και τα μηνύματα κειμένου τις επόμενες εβδομάδες και μήνες. Θυμάμαι να μην επαναχρησιμοποιείτε ποτέ τα διαπιστευτήρια του λογαριασμού σας.

Επαναχρησιμοποίηση διαπιστευτηρίων ούτε μια φορά.

Έχει παραβιαστεί ο λογαριασμός σας; Είστε έκπληκτος για το πόσο καιρό χρειάστηκε να ενεργήσει το Yahoo; Ποια μεγάλη υπηρεσία θα παραβιαστεί στη συνέχεια; Πείτε μας τις σκέψεις σας παρακάτω!

Ο Gavin είναι ανώτερος συγγραφέας για το MUO. Είναι επίσης ο Επεξεργαστής και ο Διαχειριστής SEO για την αδελφή ιστοσελίδα του MakeUseOf, Blok Decoded. Έχει BA (Hons) Σύγχρονη γραφή με πρακτικές ψηφιακής τέχνης λεηλατημένη από τους λόφους του Devon, καθώς και πάνω από μια δεκαετία επαγγελματικής εμπειρίας γραφής. Απολαμβάνει άφθονο τσάι.