Nel 2012, LinkedIn è stato violato da un'entità russa sconosciuta e sei milioni di credenziali utente sono trapelate online. Quattro anni dopo, è emerso che l'hack era molto peggio di quanto ci aspettassimo prima. In un rapporto pubblicato da Vice's Motherboard, un hacker di nome Peace ha venduto 117 milioni di credenziali di LinkedIn sul web Dark per circa $ 2.200 in Bitcoin.
Mentre questo episodio è un persistente mal di testa per LinkedIn, sarà inevitabilmente peggiore per le migliaia di utenti i cui dati sono stati pubblicati online. Aiutandomi a dare un senso a ciò è Kevin Shabazi; un esperto di sicurezza leader e CEO e fondatore di LogMeOnce.
Capire la perdita di LinkedIn: quanto è grave?
Seduto con Kevin, la prima cosa che fece fu enfatizzare l'enormità di questa perdita. "Se la cifra di 117 milioni di credenziali trapelate sembra sembrare gigantesca, è necessario riorganizzarsi. Nel primo trimestre del 2012, LinkedIn ha avuto un totale di 161 milioni di membri. Ciò significa che gli hacker in quel momento non hanno preso solo 117 milioni di record ".
"In sostanza hanno portato via il 73% dell'intero database di iscritti di LinkedIn."
Questi numeri parlano da soli. Se si misurano i dati puramente in termini di record trapelati, si confrontano con altri hack di grandi nomi, come la fuga di PlayStation Network del 2011, o la fuga di Ashley Madison dall'ultimo anno 3 Ragioni per cui The Ashley Madison Hack è un affare serio 3 motivi Perché The Ashley Madison Hack è un affare serio Internet sembra estatico per l'hack di Ashley Madison, con milioni di adulteri e dettagli dei potenziali adulteri "hackerati e pubblicati online, con articoli che escono dagli individui trovati nella discarica dei dati. Esilarante, giusto? Non così in fretta. Leggi di più . Kevin era desideroso di sottolineare che questo hack è una bestia fondamentalmente diversa, comunque. Perché mentre l'hacking di PSN era puramente per ottenere informazioni sulla carta di credito, e l'hack di Ashley Madison doveva semplicemente infliggere imbarazzo alla società e ai suoi utenti, la rete di LinkedIn " inghiotte un sfiducia in un social network incentrato sul business". Potrebbe portare a persone che mettono in discussione l'integrità delle loro interazioni sul sito. Questo, per LinkedIn, potrebbe rivelarsi fatale.
Soprattutto quando i contenuti del dump di dati sollevano serie domande sulle politiche di sicurezza dell'azienda. Il dump iniziale includeva le credenziali dell'utente, ma secondo Kevin, le credenziali dell'utente non erano crittografate correttamente.
"LinkedIn avrebbe dovuto applicare un hash e sale a ciascuna password che comporta l'aggiunta di alcuni caratteri casuali. Questa variazione dinamica aggiunge un elemento temporale alla password, che se rubato, gli utenti avranno tutto il tempo per cambiarlo. "
Volevo sapere perché gli aggressori avevano atteso fino a quattro anni prima di farlo trapelare sulla rete oscura. Kevin ha ammesso che gli aggressori hanno mostrato una grande dose di pazienza nel venderlo, ma è probabile che lo stessero sperimentando. "Dovresti dare per scontato che stessero codificando attorno ad esso mentre sviluppavano le probabilità matematiche per studiare e capire le tendenze, il comportamento e infine i comportamenti delle password degli utenti. Immagina il livello di precisione se invii 117.000.000 di dati effettivi per creare una curva e studiare un fenomeno! "
Kevin ha anche detto che è probabile che le credenziali trapelate siano state usate per compromettere altri servizi, come Facebook e account di posta elettronica.
Comprensibilmente, Kevin è incredibilmente critico sulla risposta di LinkedIn alla perdita. Lo ha descritto come "semplicemente inadeguato". La sua più grande lamentela è che la società non ha allertato i propri utenti sulla scala della culatta quando è successo. La trasparenza, dice, è importante.
Si lamenta anche del fatto che LinkedIn non ha adottato alcuna misura pratica per proteggere i propri utenti, quando è avvenuta la perdita. "Se LinkedIn avesse adottato misure correttive, forzato un cambio di password e poi lavorato con gli utenti per informarli sulle migliori pratiche di sicurezza, allora sarebbe stato OK". Kevin dice che se LinkedIn ha usato la fuga come un'opportunità per educare i propri utenti sulla necessità di creare password sicure Come generare password sicure che si abbinano alla tua personalità Come generare password forti che si adattano alla tua personalità Senza una password sicura potresti ritrovarti rapidamente la parte ricevente di un crimine informatico. Un modo per creare una password memorabile potrebbe essere quello di abbinarlo alla tua personalità. Per saperne di più che non sono riciclati e che vengono rinnovati ogni novanta giorni, la discarica dei dati avrebbe meno valore oggi.
Cosa possono fare gli utenti per proteggersi?
Kevin non consiglia agli utenti di accedere al web Dark Journey in the Hidden Web: una guida per i nuovi ricercatori Journey into the Hidden Web: una guida per i nuovi ricercatori Questo manuale ti porterà in un tour attraverso i molti livelli del deep web : database e informazioni disponibili su riviste accademiche. Finalmente arriveremo alle porte di Tor. Leggi di più per vedere se sono nella discarica. In realtà, dice che non c'è motivo per un utente di confermare se sono stati colpiti affatto. Secondo Kevin, tutti gli utenti dovrebbero prendere misure decisive per proteggersi.
Vale la pena aggiungere che la fuga di LinkedIn troverà quasi sicuramente la strada per Troy Hunt, dove gli utenti possono controllare in sicurezza il loro stato.
Quindi, cosa dovresti fare? In primo luogo, afferma, gli utenti devono disconnettersi dagli account di LinkedIn su tutti i dispositivi connessi e cambiare la propria password su un dispositivo. Rendi forte. Raccomanda che le persone generino le loro password utilizzando un generatore di password casuali. 5 modi per generare password sicure su Linux 5 modi per generare password sicure su Linux È fondamentale utilizzare password complesse per i tuoi account online. Senza una password sicura, è facile per gli altri rompere il tuo. Tuttavia, puoi ottenere il tuo computer per sceglierne uno per te. Leggi di più .
Certo, si tratta di password lunghe e ingombranti, difficili da memorizzare per le persone. Questo, dice, non è un problema se si utilizza un gestore di password. "Ci sono più versioni gratuite e affidabili, incluso LogMeOnce."
Sottolinea che la scelta del gestore di password giusto è importante. "Scegli un gestore di password che usi 'injection' per inserire password nei campi corretti, piuttosto che copiare e incollare semplicemente dagli appunti. Questo ti aiuta ad evitare gli hack attack tramite i keylogger. "
Kevin sottolinea anche l'importanza di utilizzare una password master forte sul tuo gestore di password.
"Scegli una password principale con più di 12 caratteri. Questa è la chiave del tuo regno. Usa una frase da ricordare come "$ _I Love BaseBall $". Questo richiede circa 5 milioni di anni per essere incrinato "
Le persone dovrebbero anche aderire alle migliori pratiche di sicurezza. Questo include l'uso dell'autenticazione a due fattori Blocca giù questi servizi ora con autenticazione a due fattori Blocca giù questi servizi ora con autenticazione a due fattori L'autenticazione a due fattori è il modo intelligente per proteggere i tuoi account online. Diamo un'occhiata ad alcuni dei servizi che puoi bloccare con una maggiore sicurezza. Leggi di più . "L'autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede all'utente di fornire due livelli o parti di identificazione. Ciò significa che proteggi le tue credenziali con due livelli di difesa: qualcosa che conosci "(una password) e qualcosa che hai" (un token una tantum) ".
Infine, Kevin raccomanda agli utenti di LinkedIn di notificare a chiunque nella propria rete l'hack, in modo che anche loro possano adottare misure protettive.
Un mal di testa in corso
La fuga di oltre cento milioni di record dal database di LinkedIn rappresenta un problema in corso per un'azienda la cui reputazione è stata macchiata da altri scandali di sicurezza di alto profilo. Quello che succede dopo è l'ipotesi di chiunque.
Se usiamo gli hack PSN e Ashley Madison come nostre road map, possiamo aspettarci che cybercriminali non siano collegati al trucco originale per sfruttare i dati trapelati e usarli per estorcere gli utenti interessati. Possiamo anche aspettarci che LinkedIn strisciando si scusini con i loro utenti, e offra loro qualcosa - forse in contanti, o più probabilmente un credito per account premium - come un segno di contrizione. In ogni caso, gli utenti devono essere preparati al peggio e adottare misure proattive Proteggersi con un controllo annuale sulla sicurezza e sulla privacy Proteggersi con un controllo annuale sulla sicurezza e sulla privacy Siamo quasi due mesi nel nuovo anno, ma c'è ancora tempo per fare una risoluzione positiva. Dimentica di bere meno caffeina - stiamo parlando di adottare misure per salvaguardare la sicurezza e la privacy online. Leggi di più per proteggersi.
Immagine di credito: Sarah Joy via Flickr