Oglas

Web div Yahoo pretrpio je ogromno kršenje podataka. Povreda koja se dogodila 2014. rezultirala je podacima o 500 milijuna Yahooovih korisnika ponuđena za prodaju na mračnom webu 10 Malo poznatih uglova dubokog weba koji vam se zapravo mogu svidjetiMračni web ima lošu reputaciju, ali postoje neke zaista korisne tamne web stranice koje biste mogli provjeriti. Čitaj više .

Kreditna slika: Ken Wolter putem Shutterstock.com
Kreditna slika: Ken Wolter putem Shutterstock.com

Opseg krađe preslikava druga nedavna, krupnija kršenja podataka i postavlja sigurnosne prakse u Yahoo čvrsto pod svjetlo reflektora.

Što se prekršilo?

Yahoo je objavio izjavu potvrđujući i detaljno kršenje sigurnosti, izrazivši tvrdnju da su podatke ukrali hakeri od strane države. Informacije, uključujući imena, adrese e-pošte, telefonske brojeve i sigurnosna pitanja, ukradene su tvrtki u 2014. godini.

„Nedavna Yahoo-ova istraga potvrdila je da je krajem 2014. godine s naše mreže ukraden primjerak određenih podataka o korisničkim računima, za što vjerujemo da je akter sponzoriran od strane države. Blisko surađujemo s tijelima za provođenje zakona i obavještavamo potencijalno pogođene korisnike o načinima na koji mogu dodatno osigurati svoje račune. "

instagram viewer

Jedan mali pozitivni rezultat je saznanja da povreda nije sadržavala "nezaštićene lozinke, podatke o platnim karticama ili podatke o bankovnom računu". Ipak, Izjave koje je izdao Yahoo pokrenuće dodatna pitanja istraživača sigurnosti u vezi s vremenom događaja kao i postupcima kompanije u danima koji slijede kršenje.

RAZUMIJEVANJE: 500 milijuna #Yahoo Računi kompromitirani u 2014. Hack. U ostalim šokantnim vijestima, 500 milijuna ljudi ima Yahoo račune.

- Ben Canner (@InfoSec_Review) 22. rujna 2016

Postavljanje važnih pitanja

Čvrsto na vrhu mnogih sigurnosnih istraživača popis pitanja jednostavno će biti "zašto je trebalo toliko vremena da se potvrdi hak Zašto tvrtke kršenja kršenja mogu biti dobra stvarUz toliko informacija na mreži, svi se brinemo o potencijalnim narušavanjima sigurnosti. Ali ta se kršenja mogu zadržati u tajnosti u SAD-u kako bi vas zaštitila. Zvuči ludo, pa što se događa? Čitaj više ove ljestvice? " To se lako upada u tuđa pitanja. Zašto je Yahoo trajao toliko vremena da obavijesti svoje korisnike o kršenju?

Yahoo sada kupcima šalje obavijesti o kršenju: pic.twitter.com/AjbDJYQCIH

- Trojanski lov (@troyhunt) 23. rujna 2016

Zbunjuje i pojam napada koji financira država. Do sada, Yahoo nije uspio iznijeti nijedan dokaz koji bi to kršenje povezao s akterom nacionalne države, iako su trojica američkih dužnosnika obavještajnih službi - koji nisu htjeli biti identificirani - potvrđeno za Reuters:

"... vjerovali su da je napad sponzorirao država zbog sličnosti s prethodnim hakovima koji su pronađeni u ruskim obavještajnim agencijama ili hakerima koji djeluju u njihovoj režiji."

Čak i ako je kršenje imao je sličnost s prethodnim napadima nacionalnih država Kad vlade napadaju: Nation-State Malware izloženTrenutno se odvija cyber-rat, skriven internetom, čiji se rezultati rijetko primjećuju. Ali tko su igrači ovog ratnog teatra i koja su njihova oružja? Čitaj više , ta kršenja obično ne rezultiraju objavljivanjem privatnih podataka korisnika. Rijetki ih još uvijek pronalaze vjerodajnice oglašene za prodaju na mračnom webu Evo koliko vaš identitet može biti vrijedan na mračnom webuNije neugodno sebe smatrati robom, ali svi vaši osobni podaci, od imena i adrese do podataka o bankovnom računu, vrijede nešto od internetskih kriminalaca. Koliko vrijediš? Čitaj više .

Dodavanje daljnjih spletki je identitet pojedinačnog prodavača dijela kršenja podataka. Korisnik pod nazivom "Mir uma", koji je također prodavao deponije podataka o kršenjima MySpacea i LinkedIna, aktivno je vršio podatke.

haker
Kreditna slika: adike putem Shutterstock-a

Jeremiah Grossman, šef sigurnosne strategije u SentinelOneu, rekao je "Iako znamo da su informacije ukradene krajem 2014., nemamo naznake kada je Yahoo prvi put saznao za ovo kršenje. Ovo je važan detalj u priči. "

Grossman vjeruje da je, budući da je Mir uma bio „hakerski profiter“, malo vjerojatno da bi dobili sponzorstvo države; posljedično, "to znači da je moguće da gledamo dva različita Yahoo-ova kršenja s dvije različite hakerske grupe u njihovom sustavu."

„Ogroman broj ljudi pogođenih ovim cyber napadom zadivljuje i pokazuje koliko ozbiljne posljedice sigurnosnog haka mogu biti... još ne znaju sve pojedinosti kako se ovaj hack dogodio, ali ovdje je otrežnjujuća i važna poruka za tvrtke koje nabavljaju i bave se osobnim podaci. Osobni podaci ljudi moraju biti zaštićeni pod bravom i ključem - a taj haker mora biti nemoguć za pronalazak. " - povjerenica za informiranje Ujedinjenog Kraljevstva Elizabeth Denham

Koliko je to ozbiljno?

Izjava Yahooa potvrdila je da je velika većina ukradenih lozinki pohranjena pomoću bcrypta. Hashing je proces pretvaranja lozinke u "otisak prsta" fiksne duljine koji se ponovno poziva i provjerava kada korisnik pokušava prijaviti. To je osnovna metoda zaštite podataka korisnika Svaka sigurna web stranica to čini sa svojom lozinkomJeste li se ikad zapitali kako web stranice čuvaju vašu lozinku od kršenja podataka? Čitaj više , ipak je još uvijek previdi neke web stranice 7 najčešćih taktika koje se koriste za hakiranje lozinkiKad čujete "narušavanje sigurnosti", što vam pada na pamet? Zloban haker? Malo dijete u podrumu? Realnost je sve što je potrebno zaporka, a hakeri imaju 7 načina da dobiju svoje. Čitaj više .

Bcrypt se smatra sigurnom metodom raspršivanja kao rezanci su također "slani", Kako web stranice čuvaju vaše lozinke?S redovitim prijavljivanjima kršenja sigurnosti na mreži, bez sumnje ste zabrinuti kako web stranice čuvaju vašu lozinku. Zapravo, radi mira, ovo je sve što moraju znati ... Čitaj više postupak u kojem će svaki hash biti drugačiji, čak i ako štiti istu lozinku.

Lozinke su iritantne, ali lako ih se mijenjaju; djevojačko prezime majke nije. Hakeri su također prekršili sigurnosna pitanja u otvorenom tekstu. Sigurnosna pitanja već su dugo pod nadzorom Kako stvoriti sigurnosno pitanje koje nitko drugi ne može pogoditiProteklih tjedana puno sam pisao o tome kako izvršiti povrat računa na mreži. Tipična sigurnosna opcija je postavljanje sigurnosnog pitanja. Iako ovo potencijalno omogućuje brz i jednostavan način ... Čitaj više zbog njihove uloge u identificiranju korisničkih računa u prethodnim kršenjima, ali oni i dalje predstavljaju osnovno obilježje većine sustava prijave korisnika.

U skladu s tim, Yahoo je svim svojim korisnicima poslao poruku o ponovnom postavljanju zaporke. Potiču svoje korisnike da:

  • Promijenite zaporku i sigurnosna pitanja i odgovore za bilo koji drugi račun na kojem koristite iste ili slične vjerodajnice kao i za vaš Yahoo račun.
  • Pregledajte svoje račune zbog sumnjivih aktivnosti.
  • Budite oprezni u bilo kojoj nepoželjnoj komunikaciji koja traži vaše osobne podatke ili vas uputite na web stranicu koja traži osobne podatke.
  • Izbjegavajte klikove na linkove ili preuzimanja privitaka iz sumnjivih e-poruka.

Ne možemo dovoljno naglasiti prvi prijedlog. Također savjetujemo našim čitateljima da razmotre i druge web stranice za koje su možda koristili svoje vjerodajnice za prijavu, poput usluge pohrane fotografija Flickr ili web mjesta društvenih oznaka Del.icio.us.

Možda ste stvorili Yahoo račun ne shvaćajući da je nesiguran.

Veliki stari prekršaj

Yahoo sada uzima neželjenu krunu Što trebate znati o masovnom curenju LinkedIn računaHaker prodaje 117 milijuna hakiranih LinkedIn-ovih vjerodajnica na Dark Webu za oko 2200 dolara bitcoina. Kevin Shabazi, izvršni direktor i osnivač LogMeOncea, pomaže nam da razumijemo samo ono što je u riziku. Čitaj više : najveće kršenje korporativnih podataka u povijesti.

  • Yahoo - 500 milijuna korisničkih vjerodajnica
  • MySpace - 359m
  • LinkedIn - 164m
  • Adobe - 152m
  • Badoo - 112m

U srpnju 2016., američki telekomunikacijski gigant Verizon zaradio je 5 milijardi američkih dolara Yahoo internetsko poslovanje. Iako se ne očekuje da će ovo kršenje utjecati na preuzimanje.

Izjava Verizon danas popodne u vezi s Yahoo sigurnosnim incidentom. $ VZpic.twitter.com/KQTnyrjlJy

- Bob Varettoni (@bvar) 22. rujna 2016

Naš savjet ostaje isti kao kod svih većih povreda podataka. Poništite zaporke. U narednim tjednima i mjesecima pažljivo proučite svoje e-poruke i SMS poruke. Zapamti nikad ne upotrebljavajte vjerodajnice računa.

Ponovna upotreba vjerodajnica; ni jednom.

Je li vaš račun ugrožen? Jeste li iznenađeni koliko dugo je Yahoo trebao djelovati? Koja će glavna usluga sljedeće biti prekršena? Javite nam svoje misli u nastavku!

Gavin je stariji pisac za MUO. Također je urednik i SEO Manager za sestrino kripto fokusirano sedište MakeUseOf, Blocks Decoded. Ima BA (Hons) suvremeno pisanje s digitalnim umjetničkim praksama koje su pljačkale s Devonskih brda, kao i više od desetljeća profesionalnog pisanja. Uživa u velikim količinama čaja.