Hva du trenger å vite om Massive LinkedIn-kontoer Lekkasje
I 2012 ble LinkedIn hacket av en ukjent russisk enhet, og seks millioner brukeridentifikasjoner ble lekket online. Fire år senere har det skjedd at hacken var langt verre enn vi først forventet. I en rapport utgitt av Vice's hovedkort, har en hacker som heter Peace, solgt 117 millioner LinkedIn credentials på Dark web for rundt $ 2.200 i Bitcoin.
Mens denne episoden er en fortsettende hodepine for LinkedIn, vil det uunngåelig bli verre for tusenvis av brukere hvis data har blitt sprutet på nettet. Å hjelpe meg med å forstå det er Kevin Shabazi; en ledende sikkerhetsekspert, og administrerende direktør og grunnlegger av LogMeOnce.
Forstå LinkedIn Lekkasje: Hvor dårlig er det egentlig?
Sittende med Kevin var det første han gjorde å understreke enormiteten av denne lekkasjen. “Hvis figuren på 117 millioner lekkede legitimasjon ser ut til å se gigantisk, må du omgruppere deg selv. I første kvartal 2012 hadde LinkedIn totalt 161 millioner medlemmer. Dette betyr at hackere på den tiden ikke bare tok 117 millioner poster.”
“I hovedsak tok de bort hele 73% av Linkedins totale database med medlemskap.”
Disse tallene taler for seg selv. Hvis du måler dataene rent når det gjelder poster som er lekket, sammenligner det med andre store navn hack, som PlayStation Network lekkasje av 2011 eller Ashley Madison lekkasje fra i fjor 3 grunner til at Ashley Madison Hack er en alvorlig sak 3 grunner Hvorfor Ashley Madison Hack er en alvorlig affære Internett virker ekstatisk om Ashley Madison hack, med millioner av forfalskninger og potensielle forfalskers detaljer hacket og utgitt på nettet, med artikler som utforsker enkeltpersoner som er funnet i datadumpen. Hilarious, ikke sant? Ikke så fort. Les mer . Kevin var ivrig etter å understreke at dette hacket er et fundamentalt annerledes dyr. Fordi mens PSN-hacket var rent for å skaffe kredittkortinformasjon, og Ashley Madison-hacket bare ville forårsake forlegenhet på selskapet og dets brukere, LinkedIn-hack “engulfer et forretningsfokusert sosialt nettverk i mistillit”. Det kan føre til at folk stiller spørsmålstegn ved integriteten til samspillet på nettstedet. Dette, for LinkedIn, kan vise seg å være dødelig.
Spesielt når innholdet i datadumpen reiser alvorlige spørsmål om sikkerhetspolitikken til selskapet. Den opprinnelige dumpen inneholdt brukeridentifikasjoner, men ifølge Kevin ble brukerens legitimasjonsbeskrivelser ikke kryptert riktig.
“LinkedIn burde ha brukt en hash og salt til hvert passord som innebærer å legge til noen tilfeldige tegn. Denne dynamiske varianten legger til et tidselement i passordet, at hvis det blir stjålet, vil brukerne ha god tid til å endre det.”
Jeg ønsket å vite hvorfor angriperne hadde ventet i opptil fire år før de lekket den til den mørke banen. Kevin anerkjente at angriperne hadde vist stor tålmodighet ved å selge den, men det var sannsynlig fordi de eksperimenterte med det. “Du bør anta at de kodet rundt det mens du utviklet matematiske sannsynligheter for å studere og forstå brukertrender, oppførsel og til slutt passordadferd. Tenk på nøyaktighetsnivået hvis du sender inn 117 000 000 faktiske innganger for å lage en kurve og studere et fenomen!”
Kevin sa også at det er sannsynlig at de lekkede legitimasjonene ble brukt til å kompromittere andre tjenester, for eksempel Facebook og e-postkontoer.
Kevin er forståelig nok kritisk for LinkedIns respons på lekkasjen. Han beskrev det som “rett og slett utilstrekkelig”. Hans største klage er at selskapet ikke varslet sine brukere til omfanget av breech tilbake da det skjedde. Åpenhet, sier han, er viktig.
Han beklager også at LinkedIn ikke tok noen praktiske skritt for å beskytte sine brukere, tilbake da lekkasjen skjedde. “Hvis LinkedIn hadde tatt korrigerende tiltak igjen da, tvunget en passordskifte, og deretter jobbet med brukerne for å utdanne dem om sikkerhetsteknikker, ville det vært OK”. Kevin sier at hvis LinkedIn brukte lekkasjen som en mulighet til å utdanne sine brukere om behovet for å lage sterke passord. Hvordan generere sterke passord som passer din personlighet. Hvordan generere sterke passord som passer din personlighet. Uten et sterkt passord kan du raskt finne deg selv på mottakelsen av en cyberkriminalitet. En måte å opprette et minneverdig passord på kan være å matche det til din personlighet. Les mer som ikke er resirkulert, og fornyes hver nitti dager, datatømmingen vil ha mindre verdi i dag.
Hva kan brukere gjøre for å beskytte seg selv?
Kevin anbefaler ikke at brukerne tar til Dark Web Journey Into The Hidden Web: En guide for nye forskere Journey Into The Hidden Web: En guide for nye forskere Denne håndboken tar deg på en tur gjennom de mange nivåene av den dype banen : databaser og informasjon tilgjengelig i faglige tidsskrifter. Til slutt kommer vi til Tors porte. Les mer for å se om de er i dumpen. Faktisk sier han at det ikke er noen grunn til at en bruker kan bekrefte om de har blitt påvirket i det hele tatt. Ifølge Kevin, alle brukere bør ta avgjørende skritt for å beskytte seg selv.
Det er verdt å legge til at LinkedIn-lekkasjen nesten helt sikkert vil finne veien til Troy Hunt's, jeg har blitt pwned, hvor brukerne trygt kan sjekke statusen deres.
Så hva skal du gjøre? For det første sier han at brukerne skal logge ut fra LinkedIn-kontoene på alle tilkoblede enheter, og på en enhet endre passordet. Gjør det sterkt. Han anbefaler at folk genererer passordene sine ved hjelp av en tilfeldig passordgenerator. 5 måter å generere sikre passord på Linux. 5 måter å generere sikre passord på Linux. Det er viktig å bruke sterke passord for dine elektroniske kontoer. Uten et sikkert passord, er det enkelt for andre å spre deg. Du kan imidlertid få datamaskinen til å velge en for deg. Les mer .
Admittedly, dette er lange, uhåndterlige passord, og det er vanskelig for folk å huske. Dette, sier han, er ikke et problem hvis du bruker en passordbehandling. “Det er flere gratis og anerkjente, inkludert LogMeOnce.”
Han understreker at det er viktig å velge riktig passordbehandling. “Velg en passordbehandling som bruker "injeksjon" for å sette inn passord i de riktige feltene, i stedet for å bare kopiere og lime inn fra utklippstavlen. Dette hjelper deg å unngå hackangrep via keyloggers.”
Kevin understreker også betydningen av å bruke et sterkt hovedpassord på passordbehandleren.
“Velg et hovedpassord som er mer enn 12 tegn. Dette er nøkkelen til ditt rike. Bruk et uttrykk for å huske som “$ _I Love BaseBall $”. Dette tar ca 5 Septillion år å bli sprukket”
Folk bør også overholde sikkerhetsbestemmelsene. Dette inkluderer bruk av tofaktorautentisering Lås ned disse tjenestene Nå med tofaktorautentiseringslås ned Disse tjenestene nå med tofaktorautentisering Tofaktorautentisering er den smarte måten å beskytte dine elektroniske kontoer på. La oss ta en titt på noen av tjenestene du kan låse ned med bedre sikkerhet. Les mer . “Tofaktorautentisering (2FA) er en sikkerhetsmetode som krever at brukeren oppgir to lag eller identitetsstykker. Dette betyr at du vil beskytte legitimasjonene dine med to lag av forsvar - noe du kjenner (et passord), og noe du har (en engangs token)”.
Til slutt anbefaler Kevin at LinkedIn-brukere informerer alle i nettverket av hack, slik at de også kan ta beskyttende tiltak.
En pågående hodepine
Lekkasjen på over hundre millioner arkiver fra Linkedins database representerer et pågående problem for et selskap hvis rykte har blitt besmittet av andre høyprofilerte sikkerhetsskandaler. Hva skjer neste er noens gjetning.
Hvis vi bruker PSN- og Ashley Madison-hackene som våre veikart, kan vi forvente at cyberkriminelle ikke er opptatt av den opprinnelige hacken for å utnytte de lekkede dataene, og bruke den til å presse ut berørte brukere. Vi kan også forvente LinkedIn å groveling be om unnskyldning til brukerne, og gi dem noe - kanskje kontanter, eller mer sannsynlig en premiekonto-kreditt - som et tegn på forurensning. Uansett må brukerne være forberedt på det verste og ta proaktive skritt. Beskyt deg selv med en årlig sikkerhet og personvernkontroll. Beskytt deg selv med en årlig sikkerhet og personvernkontroll. Vi er nesten to måneder inn i det nye året, men det er fortsatt tid til å lag en positiv oppløsning. Glem å drikke mindre koffein - vi snakker om å ta skritt for å sikre online sikkerhet og personvern. Les mer for å beskytte seg selv.
Bilde Kreditt: Sarah Joy via Flickr
Utforsk mer om: Hacking, LinkedIn, Online Security, Passord.