Oglas

Spletni velikan Yahoo je doživel ogromno kršitev podatkov. Zaradi kršitve, ki se je zgodila leta 2014, je prišlo do informacij o 500 milijonih Yahoojevih uporabnikov na prodaj na temnem spletu 10 Malo znanih kotičkov globokega spleta, ki si jih morda dejansko želiteTemni splet ima slab ugled, vendar obstaja nekaj res uporabnih temnih spletnih mest, ki jih morda želite preveriti. Preberi več .

Kreditna slika: Ken Wolter prek Shutterstock.com
Kreditna slika: Ken Wolter prek Shutterstock.com

Obseg tatvine pritrdi na druge nedavne, večje kršitve podatkov in Yahoo varnostne prakse postavi na trdno mesto v središču pozornosti.

Kaj se je kršilo?

Yahoo je izdal izjavo potrditev in podrobnost kršitve varnosti, s trditvijo, da so podatke ukradli hekerji, ki jih sponzorira država. Podatki, vključno z imeni, e-poštnimi naslovi, telefonskimi številkami in varnostnimi vprašanji, so bili leta 2014 ukradeni podjetju.

„Nedavna preiskava Yahooja je potrdila, da je bila konec leta 2014 iz našega omrežja ukradena kopija nekaterih podatkov o uporabniških računih, za katere verjamemo, da je akter, ki jih sponzorira država. Tesno sodelujemo z organi pregona in potencialno prizadete uporabnike obveščamo o načinih, kako lahko dodatno zaščitijo svoje račune. "

instagram viewer

Majhen pozitiven rezultat je vedeti, da kršitev ni vsebovala "nezaščitenih gesel, podatkov o plačilnih karticah ali podatkov o bančnem računu." Kljub temu Izjave, ki jih je izdal Yahoo, bodo sprožile nadaljnja vprašanja raziskovalcev na področju varnosti v zvezi s časovnim razporedom dogodkov in dejanji podjetja v naslednjih dneh kršitev.

RAZKRITJE: 500 milijonov #Yahoo Računi so bili v letu 2014 ogroženi. V drugih šokantnih novicah ima 500 milijonov ljudi Yahoo račune.

- Ben Canner (@InfoSec_Review) 22. septembra 2016

Postavljanje pomembnih vprašanj

Trdno na vrhu številnih vprašanj varnostnih raziskovalcev bo preprosto vprašanje "zakaj je trajalo toliko časa, da je potrdil kramp Zakaj podjetja, ki kršijo skrivne kršitve, bi lahko bila dobra stvarS toliko informacijami na spletu smo vsi zaskrbljeni zaradi morebitnih kršitev varnosti. Toda te kršitve bi lahko ohranile v tajnosti v ZDA, da bi vas zaščitili. Sliši se noro, kaj se dogaja? Preberi več te lestvice? " To zlahka naleti tudi na vprašanja drugih. Zakaj je Yahoo potreboval toliko časa, da je svoje uporabnike obvestil o kršitvi?

Yahoo kupcem zdaj pošilja obvestila o kršitvah: pic.twitter.com/AjbDJYQCIH

- Troy Hunt (@troyhunt) 23. septembra 2016

Zmeden je tudi pojem napada, ki ga sponzorira država. Za zdaj Yahoo ni predložil nobenega dokaza, ki bi kršitev povezal z akterjem nacionalne države, čeprav so trije ameriški obveščevalni uradniki - ki niso želeli biti identificirani po imenu - potrdil Reuters:

"... verjeli so, da je bil napad sponzoriran s strani države zaradi njegove podobnosti prejšnjim heksom, ki so jih zasledili ruske obveščevalne agencije ali hekerji, ki delujejo v njihovi smeri."

Tudi če kršitev je podoben prejšnjim napadom nacionalnih držav Ko vlade napadajo: izpostavijo zlonamerno programsko opremo države-državeTrenutno poteka spletna vojna, skrita za internetom, njeni rezultati so le redko opaženi. Toda kdo so igralci tega vojnega gledališča in kaj je njihovo orožje? Preberi več , te kršitve običajno ne povzročijo izdaje zasebnih uporabniških podatkov. Redkeje to še vedno najde poverilnice, oglaševane za prodajo na temnem spletu Tukaj je nekaj vrednega vaše identitete na temnem spletuNeprijetno je o sebi razmišljati kot o blagu, toda vsi vaši osebni podatki, od imena in naslova do podatkov o bančnem računu, so za spletne kriminalce nekaj vredni. Koliko ste vredni? Preberi več .

Dodatne spletke dodajo identiteti posameznega prodajnega dela kršitve podatkov. Uporabnik z imenom »Mir duševnosti«, ki je prodal tudi smetišča podatkov o kršitvah MySpace in LinkedIn, je aktivno oglaševal podatke.

heker
Kreditna slika: adike prek Shutterstocka

Jeremiah Grossman, vodja varnostne strategije pri SentinelOne, je dejal "Čeprav vemo, da so bile informacije ukradene konec leta 2014, nimamo nobenih znakov, kdaj je Yahoo prvič izvedel za to kršitev. To je pomembna podrobnost v zgodbi. "

Grossman verjame, da bi bilo verjetno, da je Peace of Mind "profiter heker", zelo malo verjetno, da bi prejel državno sponzorstvo; posledično "to pomeni, da je možno, da si v svojem sistemu ogledamo dve različni Yahoojevi kršitvi z dvema različnima hekerskima skupinama".

"Ogromno število ljudi, ki jih je prizadel ta kibernetski napad, je osupljivo in dokazuje, kako resne so lahko posledice varnostnega kraka... Mi še ne veste vseh podrobnosti o tem, kako se je zgodil ta kramp, vendar je tu odkrito in pomembno sporočilo za podjetja, ki pridobivajo in ravnajo z osebnimi podatkov. Osebni podatki ljudi morajo biti varno zaščiteni pod ključavnico - in tega ključa hekerji ne smejo najti. " - komisarka za informacije Združenega kraljestva Elizabeth Denham

Kako resno je to?

Izjava Yahooja je potrdila, da je bila velika večina ukradenih gesel premešana z bcryptom. Hashing je postopek pretvorbe gesla v "prstni odtis" fiksne dolžine, ki se prikliče in preveri, ko se uporabnik poskuša prijaviti. Gre za osnovni način varovanja uporabniških informacij Vsako varno spletno mesto to stori s svojim geslomSte se že kdaj vprašali, kako spletna mesta ščitijo vaše geslo pred kršitvami podatkov? Preberi več , vendar je nekatere spletne strani še vedno spregledajo 7 najpogostejših taktik, ki se uporabljajo za krajo geselKo slišite "kršitev varnosti", kaj mi pade na pamet? Zlonamerni heker? Neki kletni otrok? V resnici je vse, kar je potrebno, geslo, hekerji pa imajo 7 načinov, da dobijo svoje. Preberi več .

Bcrypt velja za varno metodo mešanja kot ponev je tudi "soljeno", Kako spletna mesta varujejo gesla?Ob rednih prijavljenih kršitvah varnosti na spletu vas nedvomno skrbi, kako spletna mesta skrbijo za geslo. V resnici je zaradi miru tega treba vedeti nekaj ... Preberi več postopek, pri katerem bo vsak hash drugačen, tudi če ščiti isto geslo.

Gesla so dražljiva, vendar jih je enostavno spremeniti; dekliško ime matere ni. Hekerji so kršili tudi varnostna vprašanja v preprostem besedilu. Varnostna vprašanja so že dolgo pod nadzorom Kako ustvariti varnostno vprašanje, ki ga nihče drug ne more uganitiV zadnjih tednih sem veliko pisal o tem, kako narediti izterjavo spletnih računov. Značilna varnostna možnost je postavitev varnostnega vprašanja. Čeprav to potencialno omogoča hiter in enostaven način za ... Preberi več zaradi njihove vloge pri prepoznavanju uporabniških računov v prejšnjih kršitvah, vendar še vedno predstavljajo glavno značilnost večine sistemov za prijavo uporabniških računov.

V skladu s tem je Yahoo vsem svojim uporabnikom poslal sporočilo o ponastavitvi gesla. Svoje uporabnike spodbujajo k:

  • Spremenite geslo in varnostna vprašanja in odgovore za vse druge račune, za katere uporabljate enake ali podobne poverilnice kot tiste, ki se uporabljajo za vaš Yahoo račun.
  • Preglejte svoje račune zaradi sumljivih dejavnosti.
  • Bodite previdni pri kakršnih koli nezaželenih sporočilih, ki zahtevajo vaše osebne podatke ali vas napotijo ​​na spletno stran, ki zahteva osebne podatke.
  • Izogibajte se kliku na povezave ali prenašanju prilog iz sumljivih e-poštnih sporočil.

Prvega predloga ne moremo dovolj poudariti. Našim bralcem svetujemo tudi, da razmislijo o drugih spletnih mestih, pri katerih so morda uporabili svoje podatke za prijavo, na primer storitev za shranjevanje fotografij Flickr ali spletno mesto družabnih zaznamkov Del.icio.us.

Morda ste ustvarili račun Yahoo, ne da bi vedeli, da je negotov.

Velika stara kršitev

Yahoo zdaj vzame nezaželeno krono Kaj morate vedeti o množičnem povezovanju računov LinkedInHeker prodaja 117 milijonov prekaljenih poverilnic za LinkedIn na spletu Dark za približno 2200 dolarjev Bitcoin. Kevin Shabazi, izvršni direktor in ustanovitelj LogMeOnce, nam pomaga razumeti, kaj je v nevarnosti. Preberi več : največja kršitev korporativnih podatkov v zgodovini.

  • Yahoo - 500 milijonov uporabniških poverilnic
  • MySpace - 359m
  • LinkedIn - 164m
  • Adobe - 152m
  • Badoo - 112m

Julija 2016 je ameriški telekomunikacijski gigant Verizon zaslužil 5 milijard ameriških dolarjev za Yahoojevo internetno poslovanje. Čeprav se pričakuje, da ta kršitev ne bo vplivala na prevzem.

Verizon izjava danes popoldne glede Yahoo varnostnega incidenta. $ VZpic.twitter.com/KQTnyrjlJy

- Bob Varettoni (@bvar) 22. septembra 2016

Naš nasvet ostaja enak kot pri večjih kršitvah podatkov. Ponastavite gesla. V naslednjih tednih in mesecih natančno preglejte svoja e-poštna sporočila in besedilna sporočila. Ne pozabite nikoli ne uporabljajte več poverilnic računa.

Ponovna uporaba poverilnic; niti enkrat.

Je bil vaš račun ogrožen? Ste presenečeni nad tem, kako dolgo je Yahoo moral ukrepati? Katera glavna storitev bo naslednja kršitev? Sporočite nam vaše misli spodaj!

Gavin je višji pisatelj na MUO. Je tudi urednik in vodja SEO-ja za kripto usmerjeno sestrsko spletno mesto MakeUseOf, Blocks Decoded. Ima BA (Hons) Sodobno pisanje z digitalnimi umetniškimi praksami, razbitimi s hribov Devona, in več kot desetletje profesionalnih izkušenj s pisanjem. Uživa obilne količine čaja.