Reklaam

Veebigigant Yahoo on tohutult rikkunud andmeid. 2014. aastal aset leidnud rikkumise tagajärjel oli teavet 500 miljoni Yahoo kasutaja kohta pakutakse pimedas veebis müüki 10 sügavveebi vähetuntud nurka, mis teile tegelikult võivad meeldidaTumedal veebil on halb maine, kuid on mõned tõeliselt kasulikud tumedad veebisaidid, mida võiksite vaadata. Loe rohkem .

Pildikrediit: Ken Wolter saidi Shutterstock.com kaudu
Pildikrediit: Ken Wolter saidi Shutterstock.com kaudu

Varguste kääbuste ulatus muudab hiljutised, suured andmerikkumised ulatuslikumaks ja paigutab Yahoo turvalisuse tava kindlalt tähelepanu keskpunkti.

Mida on rikutud?

Yahoo avaldas avalduse turvarikkumise kinnitamine ja täpsustamine, kinnitades, et andmed varastasid riiklikult toetatud häkkerid. Teave, sealhulgas nimed, e-posti aadressid, telefoninumbrid ja turvaküsimused varastati ettevõttelt 2014. aastal.

„Yahoo hiljutine uurimine on kinnitanud, et 2014. aasta lõpus varastati meie võrgustikust koopia teatud kasutajakontoga seotud andmetest, mille me arvame olevat riigi toetatud näitleja. Teeme tihedat koostööd õiguskaitseasutustega ja teavitame potentsiaalselt mõjutatud kasutajaid viisidest, kuidas nad saavad oma kontot veelgi turvalisemaks muuta. ”

instagram viewer

Üks väike positiivne saabub teadmisega, et rikkumine ei sisaldanud "kaitsmata paroole, maksekaardi andmeid ega pangakonto teavet". Sellegipoolest Yahoo avaldused tõstatavad turvalisuse uurijate täiendavaid küsimusi sündmuste ajakava ja ettevõtte tegevuse kohta järgnevatel päevadel rikkumine.

LÕHKUMINE: 500 miljonit # Yahoo 2014. aasta häkkeritega kontod. Teistes šokeerivates uudistes on Yahoo kontosid 500 miljonil inimesel.

- Ben Canner (@InfoSec_Review) 22. september 2016

Oluliste küsimuste tõstatamine

Kindlasti on paljude turbeuuringute uurijate küsimuste nimekirjas lihtsalt “miks haki kinnitamine nii kaua aega võttis Miks võivad rikkumisi saladuses hoidvad ettevõtted olla hea asiKuna võrgus on nii palju teavet, muretseme kõik võimalike turvarikkumiste pärast. Kuid neid rikkumisi võiks teie kaitsmiseks USA-s saladuses hoida. See kõlab hullumeelselt, mis siis saab? Loe rohkem sellises mahus? ” See jaguneb kergesti ka teiste küsimusteks. Miks võttis Yahoo oma kasutajate rikkumisest teavitamiseks nii kaua aega?

Yahoo saadab nüüd klientidele rikkumisteateid: pic.twitter.com/AjbDJYQCIH

- Troy Hunt (@troyhunt) 23. september 2016

Mõistatus on ka riigi toetatavast rünnakust. Siiani pole Yahoo suutnud esitada ühtegi tõendit, mis seoks rikkumise rahvusriigi osalisega, ehkki kolm USA luureametnikku - kes keeldusid nime tuvastamast - kinnitas Reuters:

"... nad uskusid, et rünnak oli riigi rahastatud, kuna see sarnanes varasemate häkkimistega, mille jälitajateks olid Venemaa luureagentuurid või nende suunal tegutsevad häkkerid."

Isegi kui rikkumine kandsid sarnasust varasemate rahvusriikide rünnakutega Valitsuste rünnaku korral: riigi ründevara on avatudInterneti teel varjatud kübersõda toimub praegu, selle tulemusi täheldatakse harva. Kuid kes on selle sõjateatri mängijad ja mis on nende relvad? Loe rohkem , ei põhjusta need rikkumised tavaliselt privaatsete kasutajate andmete avaldamist. Haruldasem on neid endiselt leidmas tumedas veebis müügiks reklaamitud mandaadid Siit saate teada, kui palju võiks teie identiteet pimedas veebis väärt ollaOn ebamugav mõelda endast kui kaubast, kuid kõik teie isiklikud andmed, alates nimest ja aadressist kuni pangakonto üksikasjadeni, on veebikurjategijatele midagi väärt. Kui palju sa oled väärt? Loe rohkem .

Täiendava intrigeerimise lisamine on andmerikkumise üksiku müüdava osa identiteet. Kasutaja nimega „Peace of Mind“, kes oli müünud ​​ka MySpace'i ja LinkedIn'i rikkumiste prügikaste, tegeles aktiivselt andmetega.

häkker
Pildikrediit: Shutterstocki kaudu adike

Jeremiah Grossman, SentinelOne turbestrateegia juht, ütles „Kuigi me teame, et teave varastati 2014. aasta lõpus, pole meil mingeid andmeid selle kohta, millal Yahoo sellest rikkumisest esimest korda teada sai. See on loos oluline detail. ”

Grossman usub, et kuna Meelerahu oli "tulihingeline häkker", poleks suure tõenäosusega, et nad oleksid riiklikku toetust saanud; järelikult "see tähendab, et on võimalik, et vaatame kahte erinevat Yahoo rikkumist, mille süsteemis on kaks erinevat häkkimisrühma".

„Suur arv inimesi, keda see küberrünnak puudutab, on jahmatav ja näitab, kui julgeoleku häkkimise tagajärjed võivad olla rängad... Meie ma ei tea veel kõiki üksikasju, kuidas see häkkimine juhtus, kuid siin on kainestav ja oluline sõnum ettevõtetele, kes omandavad ja käsitlevad isiklikke andmeid andmed. Inimeste isiklik teave peab olema kindlalt lukustatud ja võtme all kaitstud - häkkeritel ei tohi seda võtit olla võimalik leida. ” - Ühendkuningriigi teabevolinik Elizabeth Denham

Kui tõsine see on?

Yahoo avaldus kinnitas, et valdav osa varastatud paroolidest räsiti bcrypt abil. Rähistamine on parooli muutmine kindla pikkusega „sõrmejäljeks”, mis võetakse meelde ja kontrollitakse, kui kasutaja proovib sisse logida. See on põhiline meetod kasutajateabe kaitsmiseks Iga turvaline veebisait teeb seda oma parooligaKas olete kunagi mõelnud, kuidas veebisaidid kaitsevad teie parooli andmerikkumiste eest? Loe rohkem , veel on on mõned veebisaidid endiselt tähelepanuta jätnud Paroolide häkkimiseks kasutatud 7 levinumat taktikatMis tuleb meelde, kui kuulete "turvarikkumist"? Pahatahtlik häkker? Mingi keldrikorruseline laps? Reaalsus on vaid see, et vaja on parooli ja häkkeritel on oma moodustamiseks 7 võimalust. Loe rohkem .

Bcryptit peetakse turvaliseks räsimismeetodiks räsi on ka “soolatud” Kuidas veebisaidid teie paroole turvaliseks hoiavad?Kuna regulaarselt on teatatud Interneti-turbe rikkumistest, tunnete kahtlust, kuidas veebisaidid teie parooli eest hoolitsevad. Tegelikult on meelerahu jaoks see kõik, mida kõik peavad teadma ... Loe rohkem protsess, kus iga räsi on erinev, isegi kui see kaitseb sama parooli.

Paroolid on ärritavad, kuid neid on lihtne muuta; ema neiupõlvenime pole. Häkkerid rikkusid ka tavalise tekstiga seotud turvaküsimusi. Turvalisuse küsimused on juba pikka aega uuritud Kuidas luua turvaküsimus, mida keegi teine ​​ei suuda arvataViimastel nädalatel olen palju kirjutanud, kuidas muuta veebikontod taastatavaks. Tüüpiline turvavõimalus on turvaküsimuse seadistamine. Ehkki see võib pakkuda kiiret ja lihtsat viisi ... Loe rohkem nende rolli eest kasutajakontode tuvastamisel varasemate rikkumiste korral, moodustades siiski enamiku kasutajakontode sisselogimissüsteemide peamise funktsiooni.

Sellest lähtuvalt on Yahoo saatnud kõigile oma kasutajatele parooli lähtestamise teate. Nad julgustavad oma kasutajaid:

  • Muutke oma kõigi muude kontode paroole ja turbeküsimusi ning vastuseid, millel kasutate samu või sarnaseid mandaate nagu oma Yahoo konto puhul.
  • Vaadake oma kontosid kahtlase tegevuse suhtes üle.
  • Olge ettevaatlik igasuguse soovimatu suhtluse korral, kus küsitakse teie isiklikku teavet või suunatakse teid isiklikku teavet nõudvale veebilehele.
  • Vältige linkidel klõpsamist ega kahtlaste e-kirjade manuste allalaadimist.

Me ei saa esimest soovitust piisavalt rõhutada. Samuti soovitame lugejatel kaaluda ka teisi saite, kus nad võivad olla kasutanud oma sisselogimisvolitusi, näiteks fototalletusteenus Flickr või sotsiaalne järjehoidjate sait Del.icio.us.

Võib-olla olete loonud Yahoo konto, mõistmata, et see oli ebakindel.

Suur vana rikkumine

Yahoo nüüd võtab soovimatu krooni Mida peate teadma tohutute LinkedIn-kontode lekke kohtaHäkker müüb Dark veebis 117 miljonit häkkinud LinkedIni mandaati umbes 2200 dollari eest Bitcoinis. LogMeOnce'i tegevjuht ja asutaja Kevin Shabazi aitab meil mõista, mis on ohus. Loe rohkem : ajaloo suurim ettevõtte andmete rikkumine.

  • Yahoo - 500 miljonit kasutaja mandaati
  • MySpace - 359m
  • LinkedIn - 164m
  • Adobe - 152m
  • Badoo - 112m

2016. aasta juulis soetas USA telekommunikatsiooni hiiglane Verizon Yahoo Interneti-äri 5 miljardi dollari väärtuses. Kuid eeldatavasti see rikkumine ülevõtmist ei mõjuta.

Verisoni avaldus täna pärastlõunal Yahoo turvaintsidendi kohta. $ VZpic.twitter.com/KQTnyrjlJy

- Bob Varettoni (@bvar) 22. september 2016

Meie nõuanded jäävad samaks nagu kõigi suuremate andmerikkumiste puhul. Lähtestage oma paroolid. Samuti kontrollige oma e-kirju ja tekstsõnumeid järgmiste nädalate ja kuude jooksul. Pea meeles Ärge kunagi kasutage oma konto mandaati uuesti.

Volituste taaskasutamine; isegi mitte korra.

Kas teie konto on rikutud? Kas olete üllatunud, kui kaua Yahoo tegutsemiseks kulus? Millist põhiteenistust järgmisena rikutakse? Andke meile oma mõtetest allpool teada!

Gavin on MUO vanemkirjanik. Ta on ka MakeUseOfi krüpteerimisele keskendunud õdede saidi Blocks Decoded toimetaja ja SEO Manager. Tal on BA (Hons) kaasaegne kirjutamine koos digitaalse kunsti praktikatega, mis on rüüstatud Devoni künkadest, samuti üle kümne aasta pikkune professionaalne kirjutamiskogemus. Ta naudib ohtralt teed.