Was Sie über den massiven Verlust von LinkedIn-Konten wissen müssen
Im Jahr 2012 wurde LinkedIn von einem unbekannten russischen Unternehmen gehackt, und sechs Millionen Benutzeranmeldeinformationen wurden online durchgesickert. Vier Jahre später stellte sich heraus, dass der Hack war weit schlimmer als wir zuerst erwartet hatten. In einem von Vice's Motherboard veröffentlichten Bericht hat ein Hacker namens Peace 117 Millionen LinkedIn-Anmeldeinformationen im Dark Web für rund 2.200 US-Dollar in Bitcoin verkauft.
Diese Folge ist zwar ein anhaltender Kopfschmerz für LinkedIn, aber für Tausende Benutzer, deren Daten online gespritzt wurden, ist es unvermeidlich schlimmer. Kevin Shabazi hilft mir dabei, das zu verstehen. ein führender Sicherheitsexperte und der CEO und Gründer von LogMeOnce.
Verständnis des LinkedIn-Lecks: Wie schlimm ist es wirklich??
Als er sich mit Kevin hinsetzte, betonte er als Erstes die Ungeheuerlichkeit dieses Lecks. “Wenn die Zahl der durchgesickerten Ausweise von 117 Millionen gigantisch erscheint, müssen Sie sich umgruppieren. LinkedIn hatte im ersten Quartal 2012 insgesamt 161 Millionen Mitglieder. Dies bedeutet, dass Hacker damals nicht nur 117 Millionen Datensätze erreichten.”
“Im Wesentlichen haben sie 73% der gesamten Mitgliedschaftsdatenbank von LinkedIn entfernt.”
Diese Zahlen sprechen für sich. Wenn Sie die Daten lediglich anhand der durchgesickerten Datensätze messen, können Sie dies mit anderen bekannten Hacks wie dem PlayStation Network-Leck von 2011 oder dem Ashley-Madison-Leck aus dem letzten Jahr vergleichen. 3 Gründe, warum der Ashley Madison-Hack eine ernsthafte Angelegenheit ist 3 Gründe Warum der Ashley Madison-Hack eine ernste Angelegenheit ist Das Internet scheint begeistert über den Ashley-Madison-Hack, mit Millionen von Details von Ehebrechern und potenziellen Ehebrechern, die online gehackt und veröffentlicht wurden, mit Artikeln, die Personen aus dem Datenspeicher finden. Urkomisch, richtig? Nicht so schnell. Weiterlesen . Kevin wollte unbedingt betonen, dass es sich bei diesem Hack jedoch um ein grundlegend anderes Tier handelt. Denn während der PSN-Hack lediglich zur Erlangung von Kreditkarteninformationen diente und der Ashley-Madison-Hack lediglich dazu diente, dem Unternehmen und seinen Benutzern Verlegenheit zuzufügen, dem LinkedIn-Hack “verwirklicht ein geschäftsorientiertes soziales Netzwerk in Misstrauen”. Dies kann dazu führen, dass die Benutzer die Integrität ihrer Interaktionen auf der Website in Frage stellen. Dies kann sich für LinkedIn als fatal erweisen.
Vor allem, wenn der Inhalt des Datenspeichers ernsthafte Fragen hinsichtlich der Sicherheitsrichtlinien des Unternehmens aufwirft. Der erste Speicherauszug enthielt Benutzeranmeldeinformationen, aber laut Kevin wurden die Benutzeranmeldeinformationen nicht richtig verschlüsselt.
“LinkedIn sollte ein Hash und Salt auf jedes Passwort angewendet haben, wobei einige zufällige Zeichen hinzugefügt werden müssen. Diese dynamische Variante fügt dem Kennwort ein Zeitelement hinzu. Wenn es gestohlen wird, haben Benutzer ausreichend Zeit, um es zu ändern.”
Ich wollte wissen, warum die Angreifer bis zu vier Jahre gewartet hatten, bevor sie in das dunkle Netz geraten. Kevin räumte ein, dass die Angreifer beim Verkauf viel Geduld gezeigt hatten, aber das lag wahrscheinlich daran, dass sie damit experimentierten. “Sie sollten davon ausgehen, dass sie während der Entwicklung mathematischer Wahrscheinlichkeiten programmiert wurden, um Trends und Verhalten von Benutzern sowie das Verhalten von Passwörtern zu untersuchen und zu verstehen. Stellen Sie sich die Genauigkeit vor, wenn Sie 117.000.000 tatsächliche Eingaben einreichen, um eine Kurve zu erstellen und ein Phänomen zu studieren!”
Kevin sagte auch, dass die durchgesickerten Anmeldeinformationen wahrscheinlich dazu benutzt wurden, andere Dienste wie Facebook und E-Mail-Konten zu gefährden.
Verständlicherweise steht Kevin der Reaktion von LinkedIn auf das Leck verdammt kritisch gegenüber. Er beschrieb es als “einfach unzureichend”. Seine größte Beschwerde ist, dass das Unternehmen seine Benutzer nicht auf das Ausmaß des Verschlusses aufmerksam gemacht hatte, als es passierte. Transparenz ist wichtig, sagt er.
Er beklagt auch die Tatsache, dass LinkedIn keine praktischen Schritte unternommen hat, um seine Nutzer zu schützen, als das Leck aufgetreten ist. “Wenn LinkedIn damals Korrekturmaßnahmen ergriffen, eine Kennwortänderung erzwungen hatte und dann mit den Benutzern zusammenarbeitete, um sie über bewährte Sicherheitsmethoden zu informieren, wäre dies in Ordnung gewesen”. Kevin sagt, dass, wenn LinkedIn das Leck als eine Gelegenheit nutzte, um die Benutzer über die Notwendigkeit der Erstellung strenger Passwörter aufzuklären. So generieren Sie starke Passwörter, die Ihrer Persönlichkeit entsprechen Wie generieren Sie starke Passwörter, die zu Ihrer Persönlichkeit passen Ohne ein starkes Passwort können Sie sich schnell finden das Ende eines Cyber-Verbrechens. Eine Möglichkeit, ein einprägsames Passwort zu erstellen, könnte darin bestehen, es an Ihre Persönlichkeit anzupassen. Weitere Informationen, die nicht recycelt werden und alle neunzig Tage erneuert werden, hätte der Datenspeicher heute einen geringeren Wert.
Was können Benutzer tun, um sich selbst zu schützen?
Kevin empfiehlt nicht, dass die Benutzer das dunkle Web besuchen. Reise ins verborgene Web: Ein Leitfaden für neue Forscher Reise ins versteckte Web: Ein Leitfaden für neue Forscher Dieses Handbuch führt Sie durch die vielen Ebenen des Deep Web : Datenbanken und Informationen in wissenschaftlichen Zeitschriften. Schließlich kommen wir an den Toren von Tor an. Lesen Sie mehr, um zu sehen, ob sie sich im Speicher befinden. In der Tat sagt er, dass es für einen Benutzer keinen Grund gibt, zu bestätigen, ob er überhaupt betroffen ist. Laut Kevin, Alle Nutzer sollten entscheidende Schritte unternehmen, um sich zu schützen.
Es ist erwähnenswert, dass das LinkedIn-Leak fast sicher zu Troy Hunt's Have I been Pwned führt, wo Benutzer ihren Status sicher überprüfen können.
Also, was solltest du tun? Erstens sollten sich Benutzer auf allen verbundenen Geräten von ihren LinkedIn-Konten abmelden und auf einem Gerät ihr Kennwort ändern. Mach es stark Er empfiehlt, dass die Benutzer ihre Passwörter mit einem Zufallsgenerator generieren. 5 Möglichkeiten, sichere Passwörter unter Linux zu generieren 5 Möglichkeiten, sichere Passwörter unter Linux zu generieren Es ist äußerst wichtig, für Ihre Online-Konten sichere Passwörter zu verwenden. Ohne ein sicheres Passwort können andere leicht Ihr Passwort knacken. Sie können jedoch Ihren Computer dazu bringen, einen für Sie auszuwählen. Weiterlesen .
Zugegebenermaßen handelt es sich um lange, unhandliche Passwörter, die sich die Menschen schwer merken können. Dies sei kein Problem, wenn Sie einen Passwort-Manager verwenden. “Es gibt mehrere kostenlose und seriöse, einschließlich LogMeOnce.”
Er betont, dass die Wahl des richtigen Passwort-Managers wichtig ist. “Wählen Sie einen Passwort-Manager aus, der mithilfe von "Injection" Passwörter in die richtigen Felder einfügt, anstatt nur aus der Zwischenablage zu kopieren und einzufügen. Dies hilft Ihnen, Hackangriffe über Keylogger zu vermeiden.”
Kevin betont auch, wie wichtig es ist, ein starkes Master-Passwort für Ihren Passwort-Manager zu verwenden.
“Wählen Sie ein Hauptkennwort mit mehr als 12 Zeichen. Dies ist der Schlüssel zu deinem Königreich. Verwenden Sie einen Satz, um sich zu erinnern, wie “$ _I Love BaseBall $”. Es dauert ungefähr 5 Septillionen Jahre, bis sie geknackt sind”
Die Menschen sollten sich auch an die bewährten Sicherheitsmethoden halten. Dazu gehört die Verwendung der Zwei-Faktor-Authentifizierung Diese Services jetzt mit der Zwei-Faktor-Authentifizierung sperren Diese Services jetzt mit der Zwei-Faktor-Authentifizierung sperren Die Zwei-Faktor-Authentifizierung ist der intelligente Weg, Ihre Online-Konten zu schützen. Werfen wir einen Blick auf einige der Dienste, die Sie mit höherer Sicherheit sperren können. Weiterlesen . “Bei der Zwei-Faktor-Authentifizierung (2FA) handelt es sich um eine Sicherheitsmethode, bei der der Benutzer zwei Identitätsschichten oder -schichten bereitstellen muss. Dies bedeutet, dass Sie Ihre Anmeldeinformationen mit zwei Verteidigungsebenen schützen - etwas, das Sie "kennen" (ein Kennwort) und etwas, das Sie "haben" (ein einmaliger Token).”.
Schließlich empfiehlt Kevin, dass LinkedIn-Benutzer alle in ihrem Netzwerk über den Hack informieren, damit auch sie Schutzmaßnahmen ergreifen können.
Ein anhaltender Kopfschmerz
Der Verlust von über hundert Millionen Datensätzen aus der LinkedIn-Datenbank stellt ein anhaltendes Problem für ein Unternehmen dar, dessen Ruf durch andere hochkarätige Sicherheitsskandale beeinträchtigt wurde. Was als nächstes passiert, kann niemand ahnen.
Wenn wir die PSN- und Ashley Madison-Hacks als Straßenkarten verwenden, können wir davon ausgehen, dass Cyberkriminelle, die sich nicht auf den ursprünglichen Hack beziehen, die durchgesickerten Daten nutzen und die betroffenen Benutzer dazu erpressen können. Wir können auch erwarten, dass LinkedIn sich bei seinen Nutzern entschuldigt und ihnen etwas - vielleicht Bargeld oder wahrscheinlicher ein Premium-Kontoguthaben - als Zeichen der Reue anbietet. In jedem Fall müssen Benutzer auf das Schlimmste vorbereitet sein und proaktive Schritte einleiten. Schützen Sie sich mit einer jährlichen Sicherheits- und Datenschutzprüfung. Schützen Sie sich mit einer jährlichen Sicherheits- und Datenschutzprüfung. Wir sind fast zwei Monate im neuen Jahr, aber es bleibt noch Zeit eine positive auflösung machen. Vergessen Sie nicht, weniger Koffein zu trinken - wir sprechen davon, Maßnahmen zu ergreifen, um Online-Sicherheit und Datenschutz zu gewährleisten. Lesen Sie mehr, um sich zu schützen.
Bildnachweis: Sarah Joy über Flickr
Erfahren Sie mehr über: Hacking, LinkedIn, Online-Sicherheit, Passwort.