Annuncio pubblicitario
Nel 2012, LinkedIn è stato violato da un'entità russa sconosciutae sei milioni di credenziali utente sono state divulgate online. Quattro anni dopo, è emerso che l'hack era lontano peggio di quanto ci aspettassimo. In un rapporto pubblicato dalla scheda madre di Vice, un hacker chiamato Peace ha venduto 117 milioni di credenziali LinkedIn sul web Dark per circa $ 2,200 in Bitcoin.
Mentre questo episodio è un continuo mal di testa per LinkedIn, sarà inevitabilmente peggio per le migliaia di utenti i cui dati sono stati schizzati online. Ad aiutarmi a dare un senso a questo è Kevin Shabazi; un esperto di sicurezza leader, nonché CEO e fondatore di LogMeOnce.
Comprensione della perdita di LinkedIn: quanto è grave?
Seduto con Kevin, la prima cosa che fece fu enfatizzare l'enormità di questa fuga. “Se la cifra di 117 milioni di credenziali trapelate sembra gigantesca, devi raggrupparti. Nel primo trimestre del 2012, LinkedIn aveva un totale di 161 milioni di membri. Ciò significa che i pirati informatici di allora non hanno preso solo 117 milioni di dischi. "
"In sostanza hanno portato via un enorme 73% dell'intero database di appartenenza di LinkedIn."
Questi numeri parlano da soli. Se si misurano i dati esclusivamente in termini di record trapelati, li si confronta con altri hack di grandi nomi, come la fuga di PlayStation Network del 2011, o il Ashley Madison perde dall'anno scorso 3 Ragioni per cui Ashley Madison Hack è un affare serioInternet sembra entusiasta dell'hack di Ashley Madison, con milioni di adulteri e potenzialità i dettagli degli adulteri sono stati hackerati e rilasciati online, con articoli su individui trovati nei dati discarica. Divertente, vero? Non così in fretta. Leggi di più . Kevin era ansioso di sottolineare che questo hack è una bestia fondamentalmente diversa. Perché mentre l'hack di PSN doveva puramente ottenere informazioni sulla carta di credito, e l'hack di Ashley Madison doveva puramente infliggere imbarazzo alla società e ai suoi utenti, l'hack di LinkedIn “avvolge in diffidenza un social network incentrato sul business ”. Ciò potrebbe indurre le persone a mettere in discussione l'integrità delle loro interazioni sul sito. Questo, per LinkedIn, potrebbe rivelarsi fatale.
Soprattutto quando il contenuto della discarica dei dati solleva seri interrogativi sulle politiche di sicurezza dell'azienda. Il dump iniziale includeva le credenziali dell'utente, ma secondo Kevin, le credenziali dell'utente non erano crittografate correttamente.
"LinkedIn avrebbe dovuto applicare a hash e sale a ciascuna password che comporta l'aggiunta di alcuni caratteri casuali. Questa variazione dinamica aggiunge un elemento temporale alla password, che se viene rubato, gli utenti avranno molto tempo per cambiarla. "
Volevo sapere perché gli aggressori avevano aspettato fino a quattro anni prima di passare alla rete oscura. Kevin ha riconosciuto che gli aggressori avevano mostrato molta pazienza nel venderlo, ma probabilmente era perché lo stavano sperimentando. "Dovresti presumere che stessero programmando attorno ad esso mentre sviluppavano le probabilità matematiche per studiare e comprendere le tendenze, il comportamento e infine i comportamenti delle password degli utenti. Immagina il livello di precisione se invii 117.000.000 di input effettivi per creare una curva e studiare un fenomeno! ”
Kevin ha anche affermato che è probabile che le credenziali trapelate siano state utilizzate per compromettere altri servizi, come Facebook e gli account di posta elettronica.
Comprensibilmente, Kevin è estremamente critico sulla risposta di LinkedIn alla fuga. Lo ha descritto come "semplicemente inadeguato". La sua più grande lamentela è che la società non ha avvisato i propri utenti delle dimensioni della culatta quando è successo. La trasparenza, dice, è importante.
Si lamenta inoltre del fatto che LinkedIn non abbia adottato alcuna misura pratica per proteggere i propri utenti, quando si è verificata la perdita. "Se allora LinkedIn avesse adottato misure correttive, forzato una modifica della password e poi lavorato con gli utenti per istruirli sulle migliori pratiche di sicurezza, sarebbe andato tutto bene". Kevin afferma che se LinkedIn usasse la fuga come un'opportunità per educare i propri utenti sulla necessità creare password complesse Come generare password complesse che corrispondano alla tua personalitàSenza una password complessa potresti ritrovarti rapidamente alla fine di un crimine informatico. Un modo per creare una password memorabile potrebbe essere quello di abbinarlo alla tua personalità. Leggi di più che non vengono riciclati e vengono rinnovati ogni novanta giorni, il dump dei dati avrebbe oggi un valore inferiore.
Cosa possono fare gli utenti per proteggersi?
Kevin non consiglia agli utenti prendi la rete oscura Viaggio nel web nascosto: una guida per i nuovi ricercatoriQuesto manuale ti accompagnerà in un tour attraverso i molti livelli del deep web: database e informazioni disponibili nelle riviste accademiche. Finalmente arriveremo alle porte di Tor. Leggi di più per vedere se sono nella discarica. In realtà, afferma che non vi è motivo per cui un utente confermi se sono stati colpiti. Secondo Kevin, tutti gli utenti dovrebbe prendere misure decisive per proteggersi.
Vale la pena aggiungere che la perdita di LinkedIn troverà quasi sicuramente la strada per Troy Hunt Sono stato investito, in cui gli utenti possono verificare in sicurezza il proprio stato.
Quindi cosa dovresti fare? In primo luogo, afferma, gli utenti dovrebbero disconnettersi dai propri account LinkedIn su tutti i dispositivi collegati e su un dispositivo modificare la propria password. Rendilo forte. Raccomanda che le persone generino le loro password usando a generatore di password casuali 5 modi per generare password sicure su LinuxÈ fondamentale utilizzare password complesse per i tuoi account online. Senza una password sicura, è facile per gli altri decifrare la tua. Tuttavia, puoi fare in modo che il tuo computer ne scelga uno per te. Leggi di più .
Certo, si tratta di password lunghe, ingombranti e difficili da memorizzare per le persone. Questo, dice, non è un problema se usi un gestore di password. "Ce ne sono molti gratuiti e affidabili, incluso LogMeOnce."
Sottolinea che è importante scegliere il giusto gestore di password. "Scegli un gestore di password che utilizza" iniezione "per inserire le password nei campi corretti, anziché semplicemente copiare e incollare dagli appunti. Questo ti aiuta a evitare attacchi di hacker tramite keylogger. "
Kevin sottolinea inoltre l'importanza di utilizzare una password master avanzata sul gestore delle password.
“Scegli una password principale che contiene più di 12 caratteri. Questa è la chiave del tuo regno. Usa una frase da ricordare come "$ _I Love BaseBall $". Questo richiede circa 5 settembre per essere crackato ”
Le persone dovrebbero anche aderire alle migliori pratiche di sicurezza. Ciò comprende l'uso dell'autenticazione a due fattori Blocca subito questi servizi con l'autenticazione a due fattoriL'autenticazione a due fattori è il modo intelligente per proteggere i tuoi account online. Diamo un'occhiata ad alcuni dei servizi che è possibile bloccare con una migliore sicurezza. Leggi di più . “L'autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede all'utente di fornire due livelli o elementi di identificazione. Ciò significa che proteggerai le tue credenziali con due livelli di difesa: qualcosa che "conosci" (una password) e qualcosa che "hai" (un token una tantum) ".
Infine, Kevin raccomanda agli utenti di LinkedIn di avvisare tutti gli hacker della propria rete, in modo che anche loro possano adottare misure di protezione.
Un mal di testa in corso
La perdita di oltre cento milioni di record dal database di LinkedIn rappresenta un problema continuo per un'azienda la cui reputazione è stata contaminata da altri scandali di sicurezza di alto profilo. Quello che succede dopo è l'ipotesi di chiunque.
Se utilizziamo gli hack di PSN e Ashley Madison come nostre road map, possiamo aspettarci che i criminali informatici non collegati all'hack originale traggano vantaggio dai dati trapelati e li utilizzino per estorcere gli utenti interessati. Possiamo anche aspettarci che LinkedIn si scusi con i propri utenti e offra loro qualcosa - forse denaro contante, o più probabilmente un credito per account premium - come segno di contrizione. In entrambi i casi, gli utenti devono essere preparati al peggio, e fare passi proattivi Proteggiti con un controllo annuale sulla sicurezza e sulla privacySiamo quasi due mesi all'inizio del nuovo anno, ma c'è ancora tempo per prendere una risoluzione positiva. Dimentica di bere meno caffeina: stiamo parlando di misure per salvaguardare la sicurezza e la privacy online. Leggi di più per proteggersi.
Credito immagine: Sarah Joy via Flickr
Matthew Hughes è uno sviluppatore e scrittore di software di Liverpool, in Inghilterra. Raramente si trova senza una tazza di caffè nero forte in mano e adora assolutamente il suo Macbook Pro e la sua macchina fotografica. Puoi leggere il suo blog all'indirizzo http://www.matthewhughes.co.uk e seguilo su Twitter su @matthewhughes.
