Michael Cain
0 
5283
1547
2012'de LinkedIn, bilinmeyen bir Rus kuruluşu tarafından saldırıya uğradı ve altı milyon kullanıcı kimlik bilgisi çevrimiçi olarak sızdırıldı. Dört yıl sonra, hack olduğu ortaya çıktı uzak Beklediğimizden daha kötü. Başkan Yardımcısı'nın Anakartı tarafından yayınlanan bir rapora göre, Barış adlı bir bilgisayar korsanı Bitcoin'de yaklaşık 1.200 $ 'lık Dark web'de 117 milyon LinkedIn kimlik bilgisi satıyor.
Bu bölüm LinkedIn için sürekli bir baş ağrısı olsa da, verileri çevrimiçi ortamda yayılan binlerce kullanıcı için kaçınılmaz olarak daha da kötüleşecek. Bunu anlamama yardımcı olman Kevin Shabazi; lider bir güvenlik uzmanı ve CEO ve LogMeOnce’in kurucusu.
LinkedIn Kaçaklarını Anlamak: Gerçekten Ne Kadar Kötü?
Kevin'la birlikte otururken yaptığı ilk şey, bu sızıntının büyüklüğünü vurgulamaktı.. “117 milyon sızan kimlik rakamı dev gibi görünüyorsa, kendinizi yeniden toparlamanız gerekir. 2012 yılının ilk çeyreğinde, LinkedIn toplam 161 milyon üyeye sahipti. Bu, o sırada bilgisayar korsanlarının yalnızca 117 milyon kayıt almadığı anlamına geliyor.”
“Temel olarak, LinkedIn'in tüm üyelik veritabanının% 73'ünü aldılar..”
Bu sayılar kendileri için konuşur. Verileri yalnızca sızdırılmış kayıtlar cinsinden ölçerseniz, 2011 yılının PlayStation Network sızıntısı veya geçen yıldan Ashley Madison sızıntısı gibi diğer büyük isimdeki saldırılarla karşılaştırır. Neden 3 Neden Ashley Madison Hack'u Ciddi Bir İlişkidir İnternet, İnternet’in Ashley Madison hackinden harikulade göründüğünü, milyonlarca zina ve potansiyel zinacının ayrıntılarının çevrimiçi ortamda hapsolup yayınlandığını ve veri dökümünde bulunan şahısların makalelerini çıkardıklarını söyledi. Komik, değil mi? Çok hızlı değil. . Ancak Kevin, bu saldırının temelde farklı bir canavar olduğunu vurgulamak için istekliydi. Çünkü PSN kesmesi tamamen kredi kartı bilgilerini almaktayken, Ashley Madison kesesi ise tamamen şirket ve kullanıcıları için utanç verici oldu, LinkedIn kesildi “iş odaklı bir sosyal ağı güvensizlik içine sokuyor”. İnsanların sitedeki etkileşimlerinin bütünlüğünü sorgulamasına yol açabilir. Bu, LinkedIn için ölümcül olduğunu kanıtlayabilirdi.
Özellikle veri dökümü içeriği, şirketin güvenlik politikaları hakkında ciddi sorular ortaya attığında. İlk dökümü kullanıcı kimlik bilgilerini içeriyordu, ancak Kevin’e göre kullanıcı kimlik bilgileri doğru bir şekilde şifrelenmedi.
“LinkedIn, birkaç rastgele karakter eklemeyi içeren her parolaya bir karma ve tuz uygulamış olmalıdır. Bu dinamik varyasyon, şifreye bir zaman öğesi ekler, çalınırsa kullanıcıların değiştirmesi için yeterli zamana sahip olmaları.”
Saldırganların neden karanlık ağa sızmadan önce dört yıl kadar beklediklerini bilmek istedim. Kevin, saldırganların satışlarında büyük bir sabır gösterdiğini kabul etti, ancak bunun nedeni büyük olasılıkla deneyimlemeleriydi.. “Kullanıcı eğilimlerini, davranışlarını ve nihayetinde şifre davranışlarını incelemek ve anlamak için matematiksel olasılıklar geliştirirken, onların etrafını kodladıklarını varsaymalısınız. Eğri oluşturmak ve bir fenomen incelemek için 117.000.000 gerçek girdi gönderirseniz, doğruluk seviyesini hayal edin!”
Kevin ayrıca, sızan kimlik bilgilerinin Facebook ve e-posta hesapları gibi diğer hizmetleri tehlikeye atmak için kullanılmış olduğunu söyledi..
Anlaşılır bir şekilde, Kevin, LinkedIn'in sızıntıya tepkisi konusunda çok kritik. Olarak tanımladı “sadece yetersiz”. En büyük şikayeti, şirketin, kullanıcıları olayın yaşandığı andaki ölçeğe karşı uyarmamasıdır. Şeffaflık, diyor, önemli.
Ayrıca, LinkedIn'in, sızıntı gerçekleştiğinde kullanıcılarını korumak için herhangi bir pratik adım atmadığı gerçeğini de ihmal ediyor.. “Eğer LinkedIn o zamanlar düzeltici önlemler aldıysa, bir parola değişikliğine zorladıysa ve ardından güvenlikle ilgili en iyi uygulamalar hakkında onları eğitmek için kullanıcılarla çalıştıysa, o zaman sorun olmazdı.”. Kevin, eğer LinkedIn sızıntıyı kullanıcılarını güçlü şifreler oluşturma ihtiyacı konusunda eğitmek için bir fırsat olarak kullanırsa, Kişiliğinizi Eşleştiren Güçlü Parolalar Nasıl Üretilir? Kişiliğinizi Eşleştiren Güçlü Parolalar Nasıl Gidilir? Bir siber suçun kabullenme sonu. Unutulmaz bir şifre oluşturmanın bir yolu, kişiliğinizle eşleştirmek olabilir. geri dönüşümlü olmayan ve her doksan günde bir yenilenen veri dökümünün bugün daha az değeri olacak.
Kullanıcılar kendilerini korumak için ne yapabilir??
Kevin, kullanıcıların Karanlık ağa girmelerini önermiyor Gizli Web'e Yolculuk: Yeni Araştırmacılar İçin Bir Rehber Gizli Web'e Yolculuk: Yeni Araştırmacılar İçin Bir Kılavuz Bu kılavuz sizi derin ağın birçok seviyesinden bir tura çıkaracak : akademik dergilerde bulunan veritabanları ve bilgiler. Sonunda, Tor'un kapılarına varacağız. çöplükte olup olmadığını görmek için. Aslında, kullanıcının etkilenip etkilenmediğini onaylaması için bir neden olmadığını söylüyor. Kevin’e göre, tüm kullanıcılar kendilerini korumak için kararlı adımlar atmalı.
LinkedIn sızıntısının, kullanıcıların durumunu güvenli bir şekilde kontrol edebilecekleri Troy Hunt'ın Pwned Have Pwned (Neredeyse Kesin Pwned mı?) Yöntemini neredeyse kesinlikle bulacağını eklemeye değer.
Peki ne yapmalısın? Öncelikle, kullanıcıların LinkedIn hesaplarından tüm bağlı cihazlardan çıkış yapmaları gerektiğini ve bir cihazda şifrelerini değiştirmeleri gerektiğini söylüyor. Güçlü yap. İnsanların şifrelerini rasgele bir şifre üreticisi kullanarak oluşturmasını önerir 5 Linux'ta Güvenli Şifreler Üretmenin 5 Yolu Linux'ta Güvenli Şifreler Üretmenin 5 Yolu Online hesaplarınız için güçlü şifreler kullanmanız çok önemlidir. Güvenli bir şifre olmadan, başkalarının sizinkini kırması kolaydır. Ancak, bilgisayarınızın sizin için bir tane seçmesini sağlayabilirsiniz.. .
Kuşkusuz, bunlar uzun, hantal parolalardır ve insanların ezberlemesi zordur. Bu, bir şifre yöneticisi kullanıyorsanız sorun olmadığını söylüyor. “LogMeOnce dahil olmak üzere birden fazla özgür ve saygın olan var..”
Doğru şifre yöneticisinin seçilmesinin önemli olduğunu vurguluyor.. “Panoya kopyalayıp yapıştırmak yerine doğru alanlara şifreleri eklemek için 'enjeksiyon' kullanan bir şifre yöneticisi seçin. Bu, keylogger'lar vasıtasıyla hack saldırılarını önlemenize yardımcı olur.”
Kevin, şifre yöneticinizde güçlü bir ana şifre kullanmanın önemini de vurguluyor..
“12 karakterden daha büyük bir ana şifre seçin. Bu senin krallığının anahtarı. Hatırlamak için bir cümle kullanın. “$ _I Aşk Beyzbolu $”. Bu çatlamak için yaklaşık 5 Septillion yıl alır”
İnsanlar aynı zamanda en iyi güvenlik uygulamalarına da uymalıdır. Bu, iki faktörlü kimlik doğrulama kullanımını içerir Bu Servisleri Şimdi Kapatın İki Faktörlü Kimlik Doğrulama ile Bu Servisleri Şimdi Kapatın İki Faktörlü Kimlik Doğrulama İle İki faktörlü kimlik doğrulama, çevrimiçi hesaplarınızı korumanın akıllı yoludur. Daha iyi güvenlik ile kilitleyebileceğiniz hizmetlerden birkaçına göz atalım. . “İki faktörlü kimlik doğrulama (2FA), kullanıcının iki katman veya bir kimlik parçası sağlamasını gerektiren bir güvenlik yöntemidir. Bu, kimlik bilgilerinizi iki savunma katmanıyla koruyacağınız anlamına gelir - 'bildiğiniz' (bir şifre) ve 'sahip olduğunuz' bir şey (bir kerelik belirteci)”.
Son olarak, Kevin, LinkedIn kullanıcılarının, hack ağındaki herkesi bilgilendirmelerini ve koruyucu önlemler alabilmelerini önerir..
Devam Eden Baş Ağrısı
LinkedIn veritabanından yüz milyondan fazla kayıt sızıntısı, ününü diğer yüksek profilli güvenlik skandallarıyla belirleyen bir şirket için süregelen bir sorunu temsil ediyor. Bundan sonra ne olacak herkesin tahmininde.
PSN ve Ashley Madison korsanlarını yol haritalarımız olarak kullanırsak, siber suçluların orijinal korsanlıkla ilgisi olmayan sızan verilerden yararlanmasını bekleyebilir ve etkilenen kullanıcıları zorlamak için kullanabiliriz. Ayrıca LinkedIn'in kullanıcılarından özür dilemelerini ve bunlara bir rekabet belirtisi olarak bir şeyler - belki de nakit veya daha büyük olasılıkla bir premium hesap kredisi - sunmalarını bekleyebiliriz. Her iki durumda da, kullanıcılar en kötüsüne hazırlıklı olmalı ve proaktif adımlar atmalıdırlar Yıllık Güvenlik ve Gizlilik Kontrolü ile Kendinizi Koruyun Yıllık Güvenlik ve Gizlilik Kontrolü ile Kendinizi Koruyun Yeni yıla neredeyse iki ay kaldık, ancak yine de vaktimiz var olumlu bir çözüm yapmak. Daha az kafein almayı unutun - çevrimiçi güvenliği ve gizliliği korumak için adımlar atmaktan söz ediyoruz. Kendilerini korumak için.
Resim Kredisi: Flickr ile Sarah Joy