Reklāma

Tīmekļa gigants Yahoo ir cietis no milzīga datu pārkāpuma. Pārkāpuma rezultātā, kas notika 2014. gadā, tika iegūta informācija par 500 miljoniem Yahoo lietotāju piedāvāti pārdošanai tumšajā tīmeklī 10 mazpazīstami dziļā tīmekļa stūri, kas jums patiesībā varētu patiktTumšajam tīmeklim ir slikta reputācija, taču ir dažas patiešām noderīgas tumšās tīmekļa vietnes, kuras jūs varētu vēlēties apskatīt. Lasīt vairāk .

Attēla kredīts: Ken Wolter, izmantojot vietni Shutterstock.com
Attēla kredīts: Ken Wolter, izmantojot vietni Shutterstock.com

Citu neseno, būtisko datu pārkāpumu zādzību zagšanas mērogs un Yahoo drošības prakse tiek stingri pakļauta uzmanības centrā.

Kas ir pārkāpts?

Yahoo izdeva paziņojumu drošības pārkāpuma apstiprināšana un detalizēšana, apgalvojot, ka datus nozaguši “valsts sponsorēti” hakeri. Informācija, ieskaitot vārdus, e-pasta adreses, tālruņu numurus un drošības jautājumus, tika nozagta no uzņēmuma 2014. gadā.

“Nesenā Yahoo izmeklēšana ir apstiprinājusi, ka 2014. gada beigās no mūsu tīkla tika nozagta noteiktas lietotāja konta informācijas kopija, ko mēs uzskatām par valsts atbalstītu dalībnieku. Mēs cieši sadarbojamies ar tiesībaizsardzības iestādēm un paziņojam potenciāli ietekmētajiem lietotājiem par veidiem, kā viņi var vēl vairāk aizsargāt savus kontus. ”

instagram viewer

Viens neliels pozitīvs paziņojums norāda, ka pārkāpumā nav “neaizsargātu paroļu, maksājumu karšu datu vai bankas konta informācijas”. Tomēr Yahoo paziņojumi radīs papildu drošības pētnieku jautājumus par notikumu laika grafiku, kā arī par uzņēmuma rīcību nākamajās dienās pārkāpums.

PĀRDOŠANA: 500 miljoni # Yahoo Konti ir kompromitēti 2014. gadā Hack. Citās šokējošās ziņās 500 miljoniem cilvēku ir Yahoo konti.

- Bens Kanners (@InfoSec_Review) 2016. gada 22. septembris

Svarīgu jautājumu izvirzīšana

Stingri virs daudzu drošības pētnieku jautājumu saraksta vienkārši būs “kāpēc tik ilgi vajadzēja apstiprināt kapāt? Kāpēc uzņēmumiem, kas pārkāpumus noslēpumā, varētu būt laba lietaTā kā tiešsaistē ir tik daudz informācijas, mēs visi uztraucamies par iespējamiem drošības pārkāpumiem. Bet šos pārkāpumus ASV varētu turēt noslēpumā, lai jūs aizsargātu. Tas izklausās traki, tāpēc kas notiek? Lasīt vairāk šāda mēroga? ” Tas viegli iekļaujas arī citu jautājumos. Kāpēc Yahoo pieņēma tik daudz laika, lai savus lietotājus informētu par pārkāpumu?

Yahoo tagad klientiem nosūta paziņojumus par pārkāpumiem: pic.twitter.com/AjbDJYQCIH

- Trojas medības (@troyhunt) 2016. gada 23. septembris

Mulsina arī priekšstats par valsts atbalstītu uzbrukumu. Pagaidām Yahoo nav sniedzis pierādījumus, kas saistītu pārkāpumu ar nacionālās valsts dalībnieku, lai gan trīs ASV izlūkdienestu amatpersonas - kuras atteicās tikt identificētas pēc vārda - apstiprināja aģentūrai Reuters:

"... viņi uzskatīja, ka uzbrukums ir valsts sponsorēts, jo tas līdzinās iepriekšējiem uzlauzumiem, kas tika izsekoti Krievijas izlūkdienestiem vai hakeri, kas rīkojās viņu virzienā."

Pat ja pārkāpums nesa līdzību ar iepriekšējiem nācijas-valsts uzbrukumiem Kad valdības uzbrūk: ir atklāta valstu ļaunprātīga programmatūraKiberkarš šobrīd notiek un ir slēpts internetā, tā rezultāti reti tiek novēroti. Bet kas ir šī kara teātra spēlētāji, un kādi ir viņu ieroči? Lasīt vairāk , šie pārkāpumi parasti neizraisa privātu lietotāju datus. Retāk tie joprojām tiek meklēti akreditācijas dati, kas tiek reklamēti pārdošanai tumšajā tīmeklī Lūk, cik daudz jūsu identitāte varētu būt vērts tumšajā tīmeklīNeērti domāt par sevi kā preci, taču visa jūsu personiskā informācija, sākot no vārda un adreses līdz bankas konta informācijai, ir kaut kas vērts tiešsaistes noziedzniekiem. Cik tu esi vērts? Lasīt vairāk .

Papildu intrigu pievienošana ir datu pārkāpuma atsevišķās pārdošanas daļas identitāte. Lietotājs ar nosaukumu “Peace of Mind”, kurš bija pārdevis arī MySpace un LinkedIn pārkāpumu datu kopas, aktīvi rādīja datus.

hakeris
Attēla kredīts: adike caur Shutterstock

Jeremiah Grossman, SentinelOne drošības stratēģijas vadītājs, teica “Lai gan mēs zinām, ka informācija tika nozagta 2014. gada beigās, mums nav nekādu norāžu par to, kad Yahoo pirmo reizi uzzināja par šo pārkāpumu. Šī ir svarīga stāsta detaļa. ”

Grossmans uzskata, ka, tā kā miers bija “hakeris no labuma gūšanas”, diez vai viņi būtu saņēmuši valsts sponsorēšanu; līdz ar to “tas nozīmē, ka ir iespējams, ka mēs skatāmies uz diviem dažādiem Yahoo pārkāpumiem ar divām dažādām hakeru grupām viņu sistēmā”.

“Lielais skaits cilvēku, kurus skāris šis kiberuzbrukums, ir satriecoši un parāda, cik nopietnas var būt drošības uzlaušanas sekas... Mēs vēl nezinu visu informāciju par to, kā notika šī uzlauzšana, taču šeit ir saudzīgs un svarīgs vēstījums uzņēmumiem, kuri iegādājas un apstrādā personiskos datus dati. Cilvēku personiskajai informācijai jābūt droši aizsargātai ar slēdzeni un atslēgu, un hakeriem to nav jābūt iespējai atrast. ” - Apvienotās Karalistes informācijas komisāre Elizabete Denhema

Cik tas ir nopietni?

Yahoo paziņojums apstiprināja, ka vairums nozagto paroļu tika sajauktas, izmantojot bcrypt. Sajaukšana ir paroles pārvēršanas fiksēta garuma “pirkstu nospiedumos” process, kas tiek atsaukts un pārbaudīts, kad lietotājs mēģina pieteikties. Tā ir pamata metode lietotāju informācijas aizsardzībai Katru drošu vietni to dara ar savu paroliVai esat kādreiz domājis, kā vietnes aizsargā jūsu paroli no datu pārkāpumiem? Lasīt vairāk , tomēr ir dažas vietnes joprojām tiek ignorētas 7 visizplatītākā taktika, kas tiek izmantota, lai uzlauztu parolesKad dzirdat “drošības pārkāpums”, kas jums ienāk prātā? Ļaundabīgs hakeris? Kāds pagrabā dzīvojošs bērns? Patiesībā viss, kas nepieciešams, ir parole, un hakeriem ir 7 veidi, kā iegūt jūsu. Lasīt vairāk .

Bcrypt tiek uzskatīta par drošu sajaukšanas metodi kā hashes ir arī “sālītas” Kā vietnes aizsargā jūsu paroles?Tā kā regulāri tiek ziņots par tiešsaistes drošības pārkāpumiem, jūs bez šaubām uztraucaties par to, kā vietnes rūpējas par jūsu paroli. Patiesībā sirdsmieram tas ir kaut kas visiem jāzina ... Lasīt vairāk process, kurā katra maiņa būs atšķirīga, pat ja tā aizsargā to pašu paroli.

Paroles ir kairinošas, bet viegli maināmas; mātes pirmslaulības uzvārda nav. Hakeri pārkāpa arī vienkārša teksta drošības jautājumus. Drošības jautājumi jau sen ir pārbaudīti Kā izveidot drošības jautājumu, kuru neviens cits nevar uzminētPēdējās nedēļās esmu daudz rakstījis par to, kā padarīt tiešsaistes kontus atgūstamus. Tipiska drošības iespēja ir drošības jautājuma iestatīšana. Lai gan tas, iespējams, nodrošina ātru un ērtu veidu, kā ... Lasīt vairāk par viņu lomu lietotāju kontu identificēšanā iepriekšējos pārkāpumos, tomēr tie joprojām ir galvenā iezīme lielākajā daļā lietotāju kontu pieteikšanās sistēmu.

Attiecīgi Yahoo visiem saviem lietotājiem ir nosūtījis paroles atiestatīšanas ziņojumu. Viņi mudina savus lietotājus:

  • Mainiet paroli un drošības jautājumus un atbildes uz visiem citiem kontiem, kuros izmantojat tādus pašus vai līdzīgus akreditācijas datus kā tie, kas izmantoti jūsu Yahoo kontam.
  • Pārskatiet savus kontus uz aizdomīgām darbībām.
  • Esiet piesardzīgs attiecībā uz jebkuru nelūgtu saziņu, kurā tiek lūgta jūsu personiskā informācija vai tiek novirzīts uz vietni, kurā tiek lūgta personīga informācija.
  • Neuzklikšķiniet uz saitēm un lejupielādējiet pielikumus no aizdomīgiem e-pasta ziņojumiem.

Mēs nevaram pietiekami uzsvērt pirmo ieteikumu. Mēs arī iesakām mūsu lasītājiem apsvērt citas vietnes, kurās viņi, iespējams, ir izmantojuši savus pieteikšanās akreditācijas datus, piemēram, fotoattēlu glabāšanas pakalpojumu Flickr vai sociālo grāmatzīmju vietni Del.icio.us.

Iespējams, ka esat izveidojis Yahoo kontu, nenojaušot, ka tas bija nedrošs.

Liels veco noteikumu pārkāpums

Yahoo tagad ņem nevēlamu vainagu Kas jāzina par lielo LinkedIn kontu noplūdiHakeris Dark tīmeklī pārdod 117 miljonus uzlauztu LinkedIn akreditācijas datubāzi par aptuveni 2200 dolāriem Bitcoin. Kevins Šabaži, LogMeOnce izpilddirektors un dibinātājs, palīdz mums saprast tikai to, kas ir apdraudēts. Lasīt vairāk : lielākais korporatīvo datu pārkāpums vēsturē.

  • Yahoo - 500 miljoni lietotāju akreditācijas dati
  • MySpace - 359m
  • LinkedIn - 164m
  • Adobe - 152m
  • Badoo - 112m

ASV telekomunikāciju gigants Verizon 2016. gada jūlijā veica Yahoo interneta biznesa iegādi USD 5 miljardu vērtībā. Tomēr nav paredzams, ka šis pārkāpums ietekmēs pārņemšanu.

Šopēcpusdien Verizon paziņojums par Yahoo drošības incidentu. USD VZpic.twitter.com/KQTnyrjlJy

- Bobs Varettoni (@bvar) 2016. gada 22. septembris

Mūsu padoms paliek tāds pats kā ar jebkuru būtisku datu pārkāpumu. Atiestatiet savas paroles. Pārbaudiet arī savus e-pastus un īsziņas nākamajās nedēļās un mēnešos. Atceries nekad nelietojiet sava konta akreditācijas datus.

Pilnvaru atkārtota izmantošana; pat ne reizi.

Vai jūsu konts ir apdraudēts? Vai esat pārsteigts par to, cik ilgi Yahoo rīkojās? Kurš galvenais dienests tiks pārkāpts nākamais? Paziņojiet mums savas domas zemāk!

Gavins ir MUO vecākais rakstnieks. Viņš ir arī MakeUseOf šifrētās māsas vietnes Blocks Decoded redaktors un SEO vadītājs. Viņam ir BA (Hons) mūsdienu rakstīšana ar digitālās mākslas praksi, kas izveidota no Devonas pakalniem, kā arī vairāk nekā desmit gadu profesionāla rakstīšanas pieredze. Viņš bauda lielu daudzumu tējas.