Skelbimas

Interneto milžinė „Yahoo“ patyrė didžiulį duomenų pažeidimą. Dėl pažeidimo, įvykusio 2014 m., Buvo informacija apie 500 milijonų „Yahoo“ vartotojų siūloma parduoti tamsiajame internete 10 mažai žinomų giluminio tinklo kampelių, kurie jums gali patiktiTamsusis žiniatinklis turi blogą reputaciją, tačiau yra keletas tikrai naudingų tamsiųjų interneto svetainių, kurias galbūt norėsite patikrinti. Skaityti daugiau .

Vaizdo kreditas: Kenas Wolteris per „Shutterstock.com“
Vaizdo kreditas: Kenas Wolteris per „Shutterstock.com“

Vagystės nykštukai padaro kitus naujausius, svarbiausius duomenų pažeidimus ir aiškiai atkreipia dėmesį į „Yahoo“ vykdomą saugumo praktiką.

Kas buvo pažeista?

„Yahoo“ paskelbė pareiškimą patvirtinantis ir detalizuojantis saugumo pažeidimą, teigdamas, kad duomenis pavogė „valstybės remiami“ įsilaužėliai. Informacija, įskaitant vardus, el. Pašto adresus, telefonų numerius ir saugumo klausimus iš bendrovės buvo pavogta 2014 m.

Neseniai atliktas „Yahoo“ tyrimas patvirtino, kad tam tikros vartotojo sąskaitos informacijos kopija buvo pavogta iš mūsų tinklo 2014 m. Pabaigoje, mūsų manymu, valstybės remiamam veikėjui. Mes glaudžiai bendradarbiaujame su teisėsaugos institucijomis ir pranešame potencialiai paveiktiems vartotojams apie būdus, kuriais jie gali toliau apsaugoti savo sąskaitas. “

instagram viewer

Vienas mažas teigiamas atvejis žinant, kad pažeidime nebuvo „neapsaugotų slaptažodžių, mokėjimo kortelių duomenų ar banko sąskaitos informacijos“. Nepaisant to, „Yahoo“ paskelbti pareiškimai kels papildomus saugumo tyrinėtojų klausimus dėl įvykių laiko juostos ir bendrovės veiksmų sekančiomis dienomis pažeidimas.

PIRKIMAS: 500 milijonų # Yahoo Sąskaitos sugadintos 2014 m. Hack. Kitose šokiruojančiose naujienose 500 milijonų žmonių turi „Yahoo“ paskyras.

- Benas Canneris (@InfoSec_Review) 2016 m. Rugsėjo 22 d

Kyla svarbūs klausimai

Tvirtai daugelio saugumo tyrinėtojų klausimų sąraše bus tiesiog „kodėl prireikė tiek laiko patvirtinti įsilaužimą Kodėl kompanijos, laikančios paslaptį pažeidimais, gali būti geras dalykasTurėdami tiek informacijos internete, visi nerimaujame dėl galimų saugumo pažeidimų. Bet šie pažeidimai galėtų būti laikomi paslaptyje JAV siekiant apsaugoti jus. Skamba beprotiškai, taigi, kas vyksta? Skaityti daugiau tokio masto? “ Tai taip pat lengvai įtraukia į kitus klausimus. Kodėl „Yahoo“ užtruko tiek laiko, kad informavo vartotojus apie pažeidimą?

„Yahoo“ dabar klientams siunčia pranešimus apie pažeidimus: pic.twitter.com/AjbDJYQCIH

- Trojos medžioklė (@troyhunt) 2016 m. Rugsėjo 23 d

Įsivaizduojama ir valstybės remiamos atakos idėja. Kol kas „Yahoo“ nepateikė jokių įrodymų, siejančių pažeidimą su nacionalinės valstybės veikėju, nors trys JAV žvalgybos pareigūnai - atsisakę būti identifikuojami pagal vardą - patvirtino „Reuters“:

„... jie manė, kad išpuolis buvo remiamas valstybės, nes jis panašus į ankstesnius įsilaužimus, atsektus Rusijos žvalgybos agentūroms ar jų nurodymui veikiantiems įsilaužėliams“.

Net jei pažeidimas buvo panašus į ankstesnius nacionalinės valstybės išpuolius Kai vyriausybės užpuola: atidengta nacionalinės valstybės kenkėjiška programaKibernetinis karas vyksta dabar, yra paslėptas interneto, jo rezultatai retai pastebimi. Bet kas yra šio karo teatro žaidėjai ir kokie jų ginklai? Skaityti daugiau , šie pažeidimai paprastai nereiškia privačių vartotojų duomenų išleidimo. Retas vis dar juos randa kredencialai, reklamuojami pardavimui tamsiajame internete Štai, kiek jūsų tapatybė galėtų būti verta „Dark Web“Nemalonu galvoti apie save kaip apie prekę, tačiau visa jūsų asmeninė informacija, pradedant vardu ir adresu, baigiant banko sąskaitos informacija, yra verta ko nors nusikaltėliams internete. Kiek tu verta? Skaityti daugiau .

Pridėjus dar daugiau intrigos, yra atskirai parduodamos duomenų pažeidimo dalies tapatybė. Duomenis aktyviai rėžė vartotojas, vardu „Peace of Mind“, kuris taip pat pardavė „MySpace“ ir „LinkedIn“ pažeidimų duomenų kopijas.

įsilaužėlis
Atvaizdo kreditas: ieškokite per „Shutterstock“

Jeremiah Grossman, „SentinelOne“ saugumo strategijos vadovas, sakė „Nors žinome, kad informacija buvo pavogta 2014 m. Pabaigoje, mes neturime duomenų apie tai, kada„ Yahoo “pirmą kartą sužinojo apie šį pažeidimą. Tai yra svarbi istorijos detalė. “

Grossmanas mano, kad kadangi „Peace of Mind“ buvo „pelningas įsilaužėlis“, mažai tikėtina, kad jie būtų gavę valstybės rėmimą; todėl „tai reiškia, kad įmanoma, kad mes žiūrime į du skirtingus„ Yahoo “pažeidimus su dviem skirtingomis įsilaužimo grupėmis jų sistemoje“.

„Daugybė žmonių, nukentėjusių nuo šios kibernetinės atakos, yra stulbinantys ir parodo, kokios sunkios gali būti saugumo įsilaužimo pasekmės... Mes dar nežinau visos informacijos apie tai, kaip įvyko šis įsilaužimas, tačiau čia yra blaivus ir svarbus pranešimas įmonėms, kurios įsigyja ir tvarko asmeninius duomenis duomenys. Žmonių asmeninė informacija turi būti saugiai apsaugota užraktu ir raktu - įsilaužėliams to neįmanoma rasti. “ - Jungtinės Karalystės informacijos komisijos narė Elizabeth Denham

Kaip tai rimta?

„Yahoo“ pareiškimas patvirtino, kad didžioji dalis pavogtų slaptažodžių buvo suplakta naudojant „bcrypt“. Maišymas yra slaptažodžio pavertimo fiksuoto ilgio „pirštų atspaudais“ procesas, kuris yra priminamas ir tikrinamas, kai vartotojas bando prisijungti. Tai yra pagrindinis vartotojo informacijos apsaugos būdas Kiekviena saugi svetainė tai daro su jūsų slaptažodžiuAr kada susimąstėte, kaip svetainės apsaugo jūsų slaptažodį nuo duomenų pažeidimų? Skaityti daugiau , dar yra vis dar nepastebimos kai kuriose svetainėse 7 dažniausiai naudojamos slaptažodžių nulaužimo taktikosKas iškyla, kai išgirsti „saugumo pažeidimą“? Piktybinis įsilaužėlis? Kažkuris rūsyje gyvenantis vaikas? Realybė yra tai, kad viskas, ko reikia, yra slaptažodis, o įsilaužėliai turi 7 būdus, kaip gauti jūsų. Skaityti daugiau .

Bcrypt laikomas saugiu maišos būdu maišos taip pat yra „sūdytos“ Kaip svetainės saugo slaptažodžius?Pranešus apie įprastus internetinės saugos pažeidimus, be abejo, esate susirūpinę dėl to, kaip svetainės prižiūri jūsų slaptažodį. Tiesą sakant, norint ramiai tai žinoti reikia kiekvienam ... Skaityti daugiau procesas, kuriame kiekvienas maišos būdas bus skirtingas, net jei jis apsaugo tą patį slaptažodį.

Slaptažodžiai erzina, bet lengvai keičiami; motinos mergautinės pavardės nėra. Piratai taip pat pažeidė paprasto teksto saugumo klausimus. Saugumo klausimai jau seniai nagrinėjami Kaip sukurti saugos klausimą, kurio niekas kitas negali atspėtiPastarosiomis savaitėmis aš daug rašiau apie tai, kaip atkurti internetines paskyras. Įprasta saugos galimybė yra saugos klausimo nustatymas. Nors tai yra greitas ir lengvas būdas ... Skaityti daugiau už jų vaidmenį nustatant vartotojo abonementus ankstesnių pažeidimų metu, tačiau jie vis dar yra pagrindinis daugelio vartotojo abonementų prisijungimo sistemų bruožas.

Atitinkamai „Yahoo“ visiems savo vartotojams išsiuntė slaptažodžio nustatymo iš naujo pranešimą. Jie skatina savo vartotojus:

  • Pakeiskite slaptažodį ir saugos klausimus bei atsakymus į visas kitas paskyras, kuriose naudojate tuos pačius ar panašius prisijungimo duomenis, kurie naudojami jūsų „Yahoo“ paskyrai.
  • Peržiūrėkite, ar paskyrose nėra įtartinos veiklos.
  • Būkite atsargūs dėl bet kokio neprašyto pranešimo, kuriame prašoma pateikti jūsų asmeninę informaciją arba nukreipiama į tinklalapį, kuriame prašoma asmeninės informacijos.
  • Venkite spustelėti saitus ir neatsisiųsti priedų iš įtartinų el. Laiškų.

Mes negalime pakankamai pabrėžti pirmojo pasiūlymo. Taip pat skaitytojams patariame apsvarstyti kitas svetaines, kuriose, galbūt, jie naudojosi prisijungimo duomenimis, pavyzdžiui, nuotraukų saugojimo tarnyba „Flickr“ ar socialinio žymėjimo svetainė Del.icio.us.

Galbūt sukūrėte „Yahoo“ paskyrą, nesuvokdami, kad ji buvo nesaugi.

Didelis senas pažeidimas

„Yahoo“ dabar paima nepageidaujamą karūną Ką reikia žinoti apie didžiulį „LinkedIn“ sąskaitų nutekėjimąHakeris „Dark“ žiniatinklyje parduoda apie 117 milijonų nulaužtų „LinkedIn“ kredencialų už maždaug 2200 dolerių „Bitcoin“. Kevinas Shabazi, „LogMeOnce“ generalinis direktorius ir įkūrėjas, padeda mums suprasti, kas rizikuoja. Skaityti daugiau : didžiausias korporatyvinių duomenų pažeidimas istorijoje.

  • „Yahoo“ - 500 milijonų vartotojų kredencialai
  • „MySpace“ - 359m
  • „LinkedIn“ - 164m
  • „Adobe“ - 152m
  • „Badoo“ - 112m

2016 m. Liepos mėn. JAV telekomunikacijų milžinė „Verizon“ įsigijo „Yahoo“ interneto verslą 5 milijardais dolerių. Tačiau nesitikima, kad šis pažeidimas turės įtakos perėmimui.

Šią popietę „Verizon“ pareiškimas apie „Yahoo“ saugumo incidentą. USD VZpic.twitter.com/KQTnyrjlJy

- Bobas Varettoni (@bvar) 2016 m. Rugsėjo 22 d

Mūsų patarimai išlieka tie patys, kaip ir pažeidžiant duomenis. Iš naujo nustatykite slaptažodžius. Be to, atidžiai patikrinkite savo el. Laiškus ir tekstinius pranešimus per ateinančias savaites ir mėnesius. Prisimink niekada nenaudokite savo paskyros kredencialų.

Kredencialų pakartotinis naudojimas; net ne kartą.

Ar jūsų sąskaita buvo pažeista? Ar jus nustebino, kiek laiko prireikė „Yahoo“ veikti? Kuri pagrindinė tarnyba bus pažeista kitą kartą? Leiskite mums sužinoti savo mintis žemiau!

Gavinas yra MUO vyresnysis rašytojas. Jis taip pat yra „MakeUseOf“ šifravimo seserų svetainės „Blocks Decoded“ redaktorius ir SEO vadovas. Jis turi šiuolaikinio rašymo bakalaurą („Hons“) su skaitmeninio meno praktika, pagrobtu nuo Devono kalvų, taip pat turi daugiau nei dešimtmetį trukusio profesionalaus rašymo patirtį. Jis mėgaujasi daugybe arbatos.