Im Jahr 2012 wurde LinkedIn von einem unbekannten russischen Unternehmen gehackt, und sechs Millionen Benutzeranmeldeinformationen wurden online durchgesickert. Vier Jahre später stellte sich heraus, dass der Hack viel schlimmer war, als wir ursprünglich erwartet hatten. In einem Bericht, der von Vice's Motherboard veröffentlicht wurde, hat ein Hacker namens Peace 117 Millionen LinkedIn-Zugangsdaten auf dem Dark-Web für rund 2.200 Euro in Bitcoin verkauft.
Während diese Episode für LinkedIn weiterhin Kopfschmerzen bereitet, wird es für Tausende von Nutzern, deren Daten online gesplittert wurden, zwangsläufig schlimmer. Es hilft Kevin Shabazi, mir einen Sinn zu geben. ein führender Sicherheitsexperte und der CEO und Gründer von LogMeOnce.
Understanding The LinkedIn Leck: Wie schlecht ist es wirklich?
Als er sich mit Kevin zusammensetzte, betonte er als Erstes die Ungeheuerlichkeit dieses Lecks. "Wenn die Zahl von 117 Millionen ausgetretenen Zeugnissen gigantisch aussieht, müssen Sie sich neu formieren. Im ersten Quartal 2012 hatte LinkedIn insgesamt 161 Millionen Mitglieder. Das bedeutet, dass Hacker zu dieser Zeit nicht nur 117 Millionen Datensätze aufnahmen. "
"Im Wesentlichen haben sie ganze 73% der gesamten Mitgliedschaftsdatenbank von LinkedIn weggenommen."
Diese Zahlen sprechen für sich. Wenn Sie die Daten nur in Bezug auf ausgetretene Datensätze messen, vergleicht es sich mit anderen bekannten Hacks, wie dem PlayStation Network-Leck von 2011 oder dem Ashley Madison-Leck aus dem letzten Jahr. 3 Gründe, warum der Ashley Madison Hack eine ernste Angelegenheit ist 3 Gründe Warum der Ashley Madison Hack eine ernsthafte Affäre ist Das Internet scheint über den Ashley Madison Hack ekstatisch zu sein, mit Millionen von Ehebrecher und potenziellen Ehebrecher Details gehackt und online veröffentlicht, mit Artikeln über Einzelpersonen in der Daten-Dump gefunden. Urkomisch, oder? Nicht so schnell. Weiterlesen . Kevin wollte unbedingt betonen, dass dieser Hack ein grundlegend anderes Biest ist. Denn während der PSN-Hack lediglich Kreditkarteninformationen einholte und der Ashley-Madison-Hack lediglich dazu diente, das Unternehmen und seine Nutzer in Verlegenheit zu bringen, " verschlingt " der LinkedIn-Hack ein geschäftsorientiertes soziales Netzwerk in Misstrauen. Es könnte dazu führen, dass Menschen die Integrität ihrer Interaktionen auf der Website in Frage stellen. Dies könnte sich für LinkedIn als fatal erweisen.
Vor allem, wenn der Inhalt des Datenspeichers ernsthafte Fragen über die Sicherheitsrichtlinien des Unternehmens aufwirft. Der ursprüngliche Speicherauszug enthielt Benutzeranmeldeinformationen, aber laut Kevin wurden die Benutzeranmeldeinformationen nicht korrekt verschlüsselt.
"LinkedIn sollte auf jedes Passwort einen Hash und ein Salz anwenden, was das Hinzufügen einiger zufälliger Zeichen beinhaltet. Diese dynamische Variante fügt dem Passwort ein Zeitelement hinzu. Wenn es gestohlen wird, haben die Benutzer genügend Zeit, es zu ändern. "
Ich wollte wissen, warum die Angreifer bis zu vier Jahre gewartet haben, bevor sie ins dunkle Netz eindringen konnten. Kevin räumte ein, dass die Angreifer beim Verkauf viel Geduld gezeigt hatten, aber das war wahrscheinlich, weil sie damit experimentierten. "Sie sollten davon ausgehen, dass sie damit umgehen und mathematische Wahrscheinlichkeiten entwickeln, um Benutzertrends, Verhalten und schließlich Passwortverhalten zu untersuchen und zu verstehen. Stellen Sie sich die Genauigkeit vor, wenn Sie 117.000.000 tatsächliche Eingaben senden, um eine Kurve zu erstellen und ein Phänomen zu untersuchen! "
Kevin sagte auch, dass die durchgesickerten Anmeldeinformationen wahrscheinlich dazu verwendet wurden, andere Dienste wie Facebook und E-Mail-Konten zu kompromittieren.
Verständlicherweise ist Kevin verdammt kritisch über die Reaktion von LinkedIn auf das Leck. Er beschrieb es als "einfach unzureichend". Seine größte Beschwerde ist, dass das Unternehmen seine Benutzer nicht auf das Ausmaß des Verschlusses aufmerksam gemacht hat, als es passierte. Transparenz, sagt er, ist wichtig.
Er beklagt auch, dass LinkedIn keine praktischen Schritte zum Schutz seiner Benutzer unternommen hat, als das Leck passierte. "Wenn LinkedIn damals korrigierende Maßnahmen ergriffen hätte, eine Kennwortänderung erzwungen hätte und dann mit den Benutzern zusammengearbeitet hätte, um sie über bewährte Sicherheitsverfahren aufzuklären, dann wäre das in Ordnung gewesen". Kevin sagt, dass, wenn LinkedIn das Leck als eine Gelegenheit verwendet, um ihre Benutzer über die Notwendigkeit, starke Passwörter zu erziehen lernen Wie man starke Passwörter, die Ihre Persönlichkeit zu generieren generieren, wie starke Passwörter zu generieren, die zu Ihrer Persönlichkeit passen Ohne ein starkes Passwort könnten Sie sich schnell finden das empfangende Ende einer Internetkriminalität. Eine Möglichkeit, ein unvergessliches Passwort zu erstellen, könnte darin bestehen, es an Ihre Persönlichkeit anzupassen. Lesen Sie mehr, die nicht recycelt werden, und alle neunzig Tage erneuert werden, würde die Daten-Dump heute weniger Wert haben.
Was können Benutzer tun, um sich zu schützen?
Kevin empfiehlt nicht, dass Benutzer auf die Dunkle Web-Reise in das Verborgene Web gehen: Ein Leitfaden für neue Forscher Reise ins Verborgene Web: Ein Leitfaden für neue Forscher Dieses Handbuch führt Sie auf eine Tour durch die vielen Ebenen des tiefen Web : Datenbanken und Informationen in akademischen Zeitschriften. Schließlich werden wir vor den Toren von Tor ankommen. Lesen Sie mehr, um zu sehen, ob sie in der Müllhalde sind. In der Tat sagt er, dass es keinen Grund gibt, dass ein Benutzer bestätigt, ob sie überhaupt betroffen sind. Laut Kevin sollten alle Benutzer entscheidende Schritte unternehmen, um sich selbst zu schützen.
Es lohnt sich, hinzuzufügen, dass das LinkedIn-Leck mit Sicherheit seinen Weg zu Troy Hunt's Ive Been Pwned finden wird, wo Benutzer ihren Status sicher überprüfen können.
Also, was solltest du tun? Erstens, sagt er, Nutzer sollten sich von ihren LinkedIn-Konten auf allen verbundenen Geräten abmelden und auf einem Gerät ihr Passwort ändern. Mach es stark. Er empfiehlt Benutzern, ihre Passwörter mit einem zufälligen Passwort-Generator zu generieren. 5 Möglichkeiten zum Erzeugen sicherer Passwörter unter Linux 5 Möglichkeiten zum Erzeugen sicherer Passwörter unter Linux Es ist wichtig, starke Passwörter für Ihre Online-Konten zu verwenden. Ohne ein sicheres Passwort können andere leicht Ihr eigenes knacken. Sie können Ihren Computer jedoch dazu bringen, einen für Sie auszuwählen. Weiterlesen .
Zugegeben, das sind lange, sperrige Passwörter, die sich schwer einprägen lassen. Dies ist, sagt er, kein Problem, wenn Sie einen Passwort-Manager verwenden. "Es gibt mehrere kostenlose und seriöse, einschließlich LogMeOnce."
Er betont, dass die Wahl des richtigen Passwortmanagers wichtig ist. "Wählen Sie einen Passwort-Manager, der 'injection' verwendet, um Passwörter in die richtigen Felder einzufügen, anstatt einfach aus der Zwischenablage zu kopieren und einzufügen. So vermeiden Sie Hackerangriffe über Keylogger. "
Kevin betont auch, wie wichtig es ist, ein starkes Master-Passwort für den Passwort-Manager zu verwenden.
"Wählen Sie ein Master-Passwort mit mehr als 12 Zeichen. Dies ist der Schlüssel zu deinem Königreich. Verwenden Sie eine Phrase zum Beispiel "$ _I Love BaseBall $". Das dauert etwa 5 Millionen Jahre, um geknackt zu werden. "
Die Leute sollten sich auch an die Best Practices für Sicherheit halten. Dies schließt die Verwendung der Zwei-Faktor-Authentifizierung ein. Sperren dieser Dienste jetzt mit Zwei-Faktor-Authentifizierung Sperren dieser Dienste jetzt mit Zwei-Faktor-Authentifizierung Die Zwei-Faktor-Authentifizierung ist der intelligente Weg zum Schutz Ihrer Online-Konten. Werfen wir einen Blick auf einige der Dienste, die Sie mit besserer Sicherheit sperren können. Weiterlesen . "Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, bei der der Benutzer zwei Schichten oder Identifikationselemente bereitstellen muss. Das bedeutet, dass Sie Ihre Anmeldeinformationen mit zwei Verteidigungsstufen schützen - etwas, das Sie kennen (ein Passwort) und etwas, das Sie haben (ein einmaliges Token).
Schließlich empfiehlt Kevin, dass LinkedIn Benutzer jeden in ihrem Netzwerk des Hacks benachrichtigen, damit auch sie Schutzmaßnahmen ergreifen können.
Ein andauernder Kopfschmerz
Das Aufspüren von mehr als hundert Millionen Datensätzen aus der LinkedIn-Datenbank stellt ein anhaltendes Problem für ein Unternehmen dar, dessen Ruf durch andere hochkarätige Sicherheits-Skandale beeinträchtigt wurde. Was als nächstes passiert, ist eine Vermutung.
Wenn wir die PSN- und Ashley Madison-Hacks als unsere Straßenkarten verwenden, können wir erwarten, dass Cyberkriminelle, die nichts mit dem ursprünglichen Hack zu tun haben, die ausgelaufenen Daten ausnutzen und damit betroffene Benutzer erpressen können. Wir können auch erwarten, dass LinkedIn sich bei seinen Nutzern entschuldigt und ihnen etwas anbietet - vielleicht Bargeld oder wahrscheinlicher ein Premium-Konto - als Zeichen der Reue. So oder so, Benutzer müssen auf das Schlimmste vorbereitet sein und proaktive Schritte unternehmen Schützen Sie sich mit einem jährlichen Sicherheit und Datenschutz Checkup Schützen Sie sich mit einem jährlichen Sicherheit und Datenschutz Checkup Wir sind fast zwei Monate in das neue Jahr, aber es ist noch Zeit zu mache eine positive Lösung. Vergiss weniger Koffein zu trinken - wir reden über Maßnahmen, um Online-Sicherheit und Datenschutz zu gewährleisten. Lesen Sie mehr, um sich selbst zu schützen.
Bildquelle: Sarah Joy über Flickr