Joseph Goodman
0 
3804
913
En 2012, LinkedIn a été piraté par une entité russe inconnue et six millions d'informations d'identification d'utilisateurs ont été divulguées en ligne. Quatre ans plus tard, il est apparu que le hack était loin pire que prévu Dans un rapport publié par Vice's Mother Card, un pirate informatique appelé Peace a vendu 117 millions d'informations d'identification de LinkedIn sur le Web sombre pour environ 2 200 dollars en Bitcoin..
Bien que cet épisode soit un casse-tête permanent pour LinkedIn, il sera inévitablement plus grave pour les milliers d'utilisateurs dont les données ont été éclaboussées en ligne. Kevin Shabazi m'aide à comprendre. un expert en sécurité de premier plan, et le PDG et fondateur de LogMeOnce.
Comprendre la fuite de LinkedIn: à quel point est-ce vraiment mauvais?
Assis avec Kevin, la première chose qu'il fit fut de souligner l'énormité de cette fuite.. “Si le chiffre de 117 millions de identifiants divulgués semble gigantesque, vous devez vous regrouper. Au premier trimestre de 2012, LinkedIn comptait 161 millions de membres. Cela signifie que les pirates à l'époque ne prenaient pas seulement 117 millions de disques.”
“En substance, ils ont retiré 73% de la base de données complète des membres de LinkedIn..”
Ces chiffres parlent d'eux-mêmes. Si vous mesurez les données uniquement en termes de données divulguées, comparez-les à d'autres pirates connus, comme la fuite sur PlayStation Network de 2011 ou la fuite d'Ashley Madison de l'année dernière. 3 raisons pour lesquelles le piratage d'Ashley Madison est une affaire sérieuse 3 raisons Pourquoi le piratage d’Ashley Madison est-il une affaire sérieuse Internet semble ravi du piratage d’Ashley Madison, avec des millions de détails concernant des adultères et des adultères potentiels piratés et publiés en ligne, avec des articles sur des individus trouvés dans le fichier de données. Hilarant, non? Pas si vite. . Kevin était impatient de souligner que ce bidouillage est une bête fondamentalement différente, cependant. Parce que si le piratage PSN visait uniquement à obtenir des informations sur les cartes de crédit et que le piratage Ashley Madison visait uniquement à embarrasser la société et ses utilisateurs, le piratage LinkedIn “engendre la méfiance d'un réseau social axé sur les entreprises”. Cela pourrait amener les gens à s'interroger sur l'intégrité de leurs interactions sur le site. Ceci, pour LinkedIn, pourrait s'avérer fatal.
Surtout lorsque le contenu de la copie de données soulève de sérieuses questions sur les politiques de sécurité de l'entreprise. Le vidage initial incluait les informations d'identification de l'utilisateur, mais selon Kevin, les informations d'identification de l'utilisateur n'étaient pas cryptées correctement..
“LinkedIn aurait dû appliquer un hachage et du sel à chaque mot de passe, ce qui implique l'ajout de quelques caractères aléatoires. Cette variation dynamique ajoute un élément de temps au mot de passe. En cas de vol, les utilisateurs auront amplement le temps de le changer..”
Je voulais savoir pourquoi les assaillants avaient attendu jusqu'à quatre ans avant de le diffuser sur le Web sombre. Kevin a reconnu que les assaillants avaient fait preuve de beaucoup de patience pour le vendre, mais c'était probablement parce qu'ils l'avaient expérimenté.. “Vous devez supposer qu'ils codaient tout en développant des probabilités mathématiques pour étudier et comprendre les tendances, le comportement et, éventuellement, les comportements de mot de passe des utilisateurs. Imaginez le niveau de précision si vous soumettez 117 000 000 d'entrées réelles pour créer une courbe et étudier un phénomène.!”
Kevin a également déclaré qu'il était probable que les informations d'identification divulguées aient été utilisées pour compromettre d'autres services, tels que Facebook et les comptes de messagerie..
Naturellement, Kevin est extrêmement critique à propos de la réaction de LinkedIn à la fuite. Il l'a décrit comme “tout simplement insuffisant”. Sa principale plainte est que la société n’a pas averti ses utilisateurs de l’importance de la culasse à l’époque. La transparence, dit-il, est importante.
Il déplore également le fait que LinkedIn n’a pris aucune mesure pratique pour protéger ses utilisateurs, à l’époque des fuites.. “Si LinkedIn avait alors pris des mesures correctives, imposé un changement de mot de passe, puis travaillé avec les utilisateurs pour les informer sur les meilleures pratiques en matière de sécurité, cela aurait été OK.”. Kevin explique que si LinkedIn utilisait la fuite pour informer ses utilisateurs de la nécessité de créer des mots de passe forts. Générer des mots de passe forts, adaptés à votre personnalité. Générer des mots de passe forts, correspondant à votre personnalité. Sans mot de passe fort, vous pourriez vous retrouver rapidement. le destinataire d'une cybercriminalité. Une façon de créer un mot de passe mémorable pourrait être de le faire correspondre à votre personnalité. qui ne sont pas recyclés et sont renouvelés tous les 90 jours, le vidage de données aurait moins de valeur aujourd'hui.
Que peuvent faire les utilisateurs pour se protéger??
Kevin ne recommande pas aux utilisateurs de se lancer sur le web sombre. Un voyage sur le Web caché: guide pour les nouveaux chercheurs Un voyage sur le Web caché: guide pour les nouveaux chercheurs Ce manuel vous guidera à travers les nombreux niveaux du Web profond. : bases de données et informations disponibles dans des revues spécialisées. Enfin, nous arriverons aux portes de Tor. pour voir s'ils sont dans le dépotoir. En fait, il dit qu’un utilisateur n’a aucune raison de confirmer s’il a été touché. Selon Kevin, tous les utilisateurs devrait prendre des mesures décisives pour se protéger.
Il convient de noter que la fuite de LinkedIn se retrouvera presque certainement dans l'ouvrage "Dis-moi qu'on me le fait" de Troy Hunt, où les utilisateurs peuvent vérifier en toute sécurité leur statut..
Alors, que devrais-tu faire? Tout d'abord, les utilisateurs doivent se déconnecter de leurs comptes LinkedIn sur tous les appareils connectés et, sur un appareil, changer leur mot de passe. Le rendre fort. Il recommande aux utilisateurs de générer leurs mots de passe à l'aide d'un générateur de mots de passe aléatoires. 5 manières de générer des mots de passe sécurisés sous Linux 5 façons de générer des mots de passe sécurisés sous Linux Il est essentiel d'utiliser des mots de passe forts pour vos comptes en ligne. Sans mot de passe sécurisé, il est facile pour les autres de déchiffrer le vôtre. Cependant, vous pouvez demander à votre ordinateur d’en choisir un pour vous.. .
Certes, ce sont des mots de passe longs et difficiles à manipuler, difficiles à mémoriser. Ceci, dit-il, n'est pas un problème si vous utilisez un gestionnaire de mot de passe. “Il existe de nombreux logiciels gratuits et réputés, notamment LogMeOnce..”
Il souligne qu'il est important de choisir le bon gestionnaire de mots de passe.. “Choisissez un gestionnaire de mot de passe qui utilise «injection» pour insérer des mots de passe dans les champs appropriés, plutôt que de simplement copier et coller à partir du presse-papiers. Cela vous aide à éviter les attaques de hack via les enregistreurs de frappe.”
Kevin souligne également l'importance d'utiliser un mot de passe principal fort sur votre gestionnaire de mots de passe..
“Choisissez un mot de passe principal de plus de 12 caractères. C'est la clé de votre royaume. Utilisez une phrase à retenir telle que “$ _I Love BaseBall $”. Cela prend environ 5 septillions d'années pour être fissuré”
Les personnes doivent également adhérer aux meilleures pratiques de sécurité. Cela inclut l'utilisation de l'authentification à deux facteurs. Verrouillez ces services maintenant avec une authentification à deux facteurs. Verrouillez ces services maintenant avec une authentification à deux facteurs. L'authentification à deux facteurs est le moyen intelligent de protéger vos comptes en ligne. Jetons un coup d'oeil à quelques-uns des services que vous pouvez verrouiller avec une meilleure sécurité. . “L'authentification à deux facteurs (2FA) est une méthode de sécurité qui oblige l'utilisateur à fournir deux couches ou pièces d'identification. Cela signifie que vous allez protéger vos informations d'identification avec deux couches de défense: quelque chose que vous "connaissez" (un mot de passe) et quelque chose que vous "avez" (un jeton ponctuel).”.
Enfin, Kevin recommande aux utilisateurs de LinkedIn de notifier le piratage à tous les membres de leur réseau, afin qu’ils puissent eux aussi prendre des mesures de protection..
Un mal de tête permanent
La fuite de plus de cent millions d'enregistrements dans la base de données de LinkedIn représente un problème récurrent pour une entreprise dont la réputation est ternie par d'autres scandales de sécurité très médiatisés. Qu'est-ce qui se passe ensuite est à deviner.
Si nous utilisons les hacks du PSN et d'Ashley Madison comme feuilles de route, nous pouvons nous attendre à ce que des cybercriminels sans lien avec le piratage d'origine tirent parti des données divulguées et les utilisent pour extorquer les utilisateurs concernés. Nous pouvons également nous attendre à ce que LinkedIn s’excuse auprès de ses utilisateurs et leur propose quelque chose - peut-être de l’argent, ou plus vraisemblablement un crédit sur leur compte premium - en signe de contrition. Quoi qu'il en soit, les utilisateurs doivent être prêts au pire et prendre des mesures proactives. Protégez-vous avec un bilan de sécurité annuel et de la confidentialité Protégez-vous avec un contrôle de sécurité annuel et de la confidentialité Nous sommes presque deux mois dans la nouvelle année, mais il est encore temps de faire une résolution positive. Oubliez boire moins de caféine - nous parlons de prendre des mesures pour protéger la sécurité et la confidentialité en ligne. se protéger.
Crédit d'image: Sarah Joy via Flickr