פרסומת
ב 2012, לינקדאין נפרצה על ידי גורם רוסי לא מוכר, ושש מיליון אישורי משתמש הודלפו ברשת. ארבע שנים מאוחר יותר התברר כי היה האק רחוק גרוע ממה שציפינו לראשונה. בדוח פורסם על ידי לוח האם של סגן, האקר בשם שלום מכר 117 מיליון תעודות לינקדאין ברשת האופל בכ- 2,200 דולר בביטקוין.
בעוד שהפרק הזה מהווה כאב ראש מתמשך עבור לינקדאין, הוא בהכרח יהיה גרוע יותר לאלפי המשתמשים שהנתונים שלהם נופצו ברשת. עוזר לי להבין את זה קווין שבזי; מומחה אבטחה מוביל והמנכ"ל והמייסד של LogMeOnce.
הבנת דליפת הלינקדאין: כמה רע זה באמת?
כשהוא ישב עם קווין, הדבר הראשון שהוא עשה היה להדגיש את גודל הדליפה הזו. "נראה כי הנתון של 117 מיליון אישורים שהודלפו נראה ענקי, אתה צריך להתארגן מחדש. ברבעון הראשון של שנת 2012 היו לינקדאין בסך הכל 161 מיליון חברים. פירוש הדבר שההאקרים באותה תקופה לא רק לקחו 117 מיליון רשומות. "
"במהותם הם הסירו 73% מכל מאגרי החברות של לינקדאין."
המספרים האלה מדברים בעד עצמם. אם מודדים את הנתונים אך ורק מבחינת רשומות שהודלפו, הם משתווים עם פריצות עם שמות גדולים אחרים, כמו הדליפה של רשת פלייסטיישן משנת 2011, או ה
אשלי מדיסון דלפה מהשנה שעברה 3 סיבות מדוע האשלי מדיסון האק הוא עניין רציניהאינטרנט נראה באקסטזה לגבי האק של אשלי מדיסון, עם מיליוני נואפים ופוטנציאלים פרטי הנואפים נפרצו ושוחררו באופן מקוון, עם מאמרים בהם יוצאים פרטים על המידע שנמצא בנתונים מזבלה. מצחיק, נכון? לא כל כך מהר. קרא עוד . קווין היה להוט להדגיש כי גרזן זה הוא חיה שונה במהותה. מכיוון שבעוד שההאקינג של PSN היה אך ורק כדי להשיג מידע על כרטיסי אשראי, וההאש של האשלי מדיסון נועד אך ורק לגרום למבוכה לחברה ולמשתמשיה, האק לינקדאין “מגלה אמון ברשת חברתית ממוקדת. " זה יכול להוביל לאנשים הספקים את שלמות האינטראקציות שלהם באתר. זה מבחינת לינקדאין יכול להתגלות כקטלני.
במיוחד כאשר תוכן מזבלה הנתונים מעלה שאלות חמורות לגבי מדיניות האבטחה של החברה. המזבלה הראשונית כללה אישורי משתמשים, אך לדברי קווין, אישורי המשתמש לא הוצפנו כראוי.
"לינקדאין הייתה צריכה להחיל א חשיש ומלח לכל סיסמא הכרוכה בהוספת מספר תווים אקראיים. וריאציה דינאמית זו מוסיפה אלמנט זמן לסיסמא, שאם נגנב, למשתמשים יהיה זמן מספיק לשנות אותה. "
רציתי לדעת מדוע התוקפים חיכו עד ארבע שנים לפני שהדלפו אותו לרשת האפלה. קווין הודה כי התוקפים הראו סבלנות רבה במכירתו, אך זה ככל הנראה משום שהם ניסו זאת. "עליך להניח שהם קידדו סביב זה תוך כדי פיתוח הסתברויות מתמטיות כדי ללמוד ולהבין מגמות, התנהגות ובסופו של דבר התנהגויות באמצעות סיסמאות. תאר לעצמך את רמת הדיוק אם אתה מגיש 117,000,000 תשומות בפועל כדי ליצור עקומה וללמוד תופעה! "
קווין אמר גם כי סביר להניח שהתעודות שהודלפו שימשו לפגיעה בשירותים אחרים, כגון חשבונות פייסבוק ודוא"ל.
מובן, קווין נוקט בביקורתיות באופן גורף ביחס לתגובת לינקדאין לדליפה. הוא תיאר את זה כ"פשוט לא מספק ". התלונה הגדולה ביותר שלו היא שהחברה לא התריעה בפני המשתמשים שלהם על היקף הנשמה כאשר זה קרה. שקיפות, הוא אומר, חשובה.
הוא גם מקונן על העובדה שלינקדאין לא נקטו צעדים מעשיים להגנה על המשתמשים שלהם, כאשר אירע הדליפה. "אם לינקדאין הייתה נוקטת אז באמצעים מתקנים, מכריחה שינוי סיסמה ואז עובדת עם המשתמשים כדי לחנך אותם על שיטות עבודה מומלצות בנושא אבטחה, זה היה יכול להיות בסדר". קווין אומר שאם לינקדאין השתמשה בהדלפה כהזדמנות לחנך את המשתמשים שלהם על הצורך בכך ליצור סיסמאות חזקות כיצד ליצור סיסמאות חזקות התואמות את אישיותךללא סיסמה חזקה אתה יכול למצוא את עצמך במהירות בסוף הפשע הקיברנטי. אחת הדרכים ליצור סיסמא בלתי נשכחת יכולה להיות להתאים אותה לאישיות שלך. קרא עוד שאינם ממוחזרים ומתחדשים כל תשעים יום, למזבלה הנתונים פחות ערך היום.
מה משתמשים יכולים לעשות כדי להגן על עצמם?
קווין לא ממליץ למשתמשים קח לרשת האפלה מסע לרשת הנסתרת: מדריך לחוקרים חדשיםמדריך זה ייקח אתכם לסיור דרך הרמות הרבות של האינטרנט העמוק: מאגרי מידע ומידע הזמין בכתבי עת אקדמיים. לבסוף נגיע לשערי טור. קרא עוד לראות אם הם נמצאים במזבלה. למעשה, הוא אומר שאין סיבה שמשתמש יאשר אם הם הושפעו בכלל. לדברי קווין, כל המשתמשים צריכים לנקוט בצעדים מכריעים כדי להגן על עצמם.
כדאי להוסיף כי דליפת הלינקדאין תמצא כמעט את דרכה אל טרוי האנט האם חציתי, שם המשתמשים יכולים לבדוק בבטחה את הסטטוס שלהם.
אז מה עליכם לעשות? ראשית, לדבריו, המשתמשים צריכים להתנתק מחשבונות הלינקדאין שלהם בכל המכשירים המחוברים, ובמכשיר אחד לשנות את הסיסמא שלהם. תעשו את זה חזק. הוא ממליץ לאנשים לייצר את הסיסמאות שלהם באמצעות א מחולל סיסמאות אקראיות 5 דרכים לייצר סיסמאות מאובטחות בלינוקסחשוב להשתמש בסיסמאות חזקות עבור חשבונות המקוונים שלך. ללא סיסמה מאובטחת, קל לאחרים לפצח את שלך. עם זאת, אתה יכול לגרום למחשב שלך לבחור עבורך. קרא עוד .
יש להודות, שמדובר בסיסמאות ארוכות ובלתי מסובכות, וקשה לאנשים לשנן. זו, לדבריו, אינה בעיה אם אתה משתמש במנהל סיסמאות. "ישנן מספר חינמי ובעל מוניטין, כולל LogMeOnce."
הוא מדגיש כי בחירת מנהל הסיסמאות הנכון היא חשובה. "בחר מנהל סיסמאות שמשתמש ב"זריקה" כדי להוסיף סיסמאות בשדות הנכונים, במקום פשוט להעתיק ולהדביק מהלוח. זה עוזר לך להימנע מהתקפות פריצות דרך keyloggers. "
קווין מדגיש גם את החשיבות של שימוש בסיסמת אב חזקה במנהל הסיסמאות שלך.
"בחר סיסמת אב שהיא יותר מ 12 תווים. זה המפתח לממלכה שלך. השתמש בביטוי לזכור כגון "$ _I Love BaseBall $". זה לוקח כחמש ספטיליון שנים לפיצוח "
אנשים צריכים לדבוק גם בשיטות העבודה המומלצות לאבטחה. זה כולל השימוש באימות דו-גורמי נעל את השירותים כעת באמצעות אימות דו-גורמיאימות דו-גורמי הוא הדרך החכמה להגן על חשבונותיך המקוונים. בואו נסתכל על כמה מהשירותים שתוכלו לנעול בביטחון טוב יותר. קרא עוד . "אימות דו-גורמי (2FA) הוא שיטת אבטחה המחייבת את המשתמש לספק שתי שכבות או חתיכות זיהוי. המשמעות היא שתגן על האישורים שלך עם שתי שכבות הגנה - משהו שאתה 'יודע' (סיסמא) ומשהו 'שיש לך (אסימון חד פעמי)'.
לבסוף, קווין ממליץ למשתמשי לינקדאין להודיע לכל הרשת שלהם על הפריצה, כך שגם הם יוכלו לנקוט אמצעי הגנה.
כאב ראש מתמשך
הדלפתם של יותר ממאה מיליון רשומות ממסד הנתונים של לינקדאין מייצגת בעיה מתמשכת של חברה שהמוניטין שלה הוטבע על ידי אחרים שערוריות אבטחה בעלות פרופיל גבוה. מה שקורה אחר כך הוא הניחוש של מישהו.
אם אנו משתמשים ב- PSN ובאשלי מדיסון כמפת הדרכים שלנו, אנו יכולים לצפות כי פושעי רשת שאינם קשורים לפריצה המקורית, ינצלו את הנתונים שהודלפו, ונשתמש בהם כדי לסחוט משתמשים מושפעים. אנו יכולים גם לצפות מלינקדאין להתנצל בפני המשתמשים שלהם ולהציע להם משהו - אולי במזומן, או קרוב לוודאי אשראי בחשבון פרמיום - כאות ניגוד. כך או כך, המשתמשים צריכים להיות מוכנים לגרוע מכל, ו לנקוט צעדים יזומים הגן על עצמך באמצעות בדיקת אבטחה ופרטיות שנתיתאנחנו כמעט חודשיים אל תוך השנה החדשה, אך עדיין יש זמן לקבל החלטה חיובית. תשכח לשתות פחות קפאין - אנחנו מדברים על נקיטת צעדים לשמירה על האבטחה והפרטיות המקוונת. קרא עוד להגן על עצמם.
אשראי תמונה: שרה ג'וי דרך פליקר
מתיו יוז הוא מפתח תוכנה וכותב מליברפול, אנגליה. לעיתים רחוקות הוא נמצא ללא כוס קפה שחור חזק בידו ומעריץ לחלוטין את ה- Macbook Pro ואת המצלמה שלו. תוכלו לקרוא את הבלוג שלו בכתובת http://www.matthewhughes.co.uk ותעקוב אחריו בטוויטר ב- @ matthewhughes.
