İlan

Web devi Yahoo muazzam bir veri ihlali yaşadı. 2014 yılında meydana gelen ihlal, 500 milyon Yahoo kullanıcısının karanlık web üzerinde satışa sunulan Aslında Beğenebileceğiniz Derin Web'in 10 Az Bilinen KöşesiKaranlık web kötü bir üne sahiptir, ancak kontrol etmek isteyebileceğiniz gerçekten yararlı karanlık web siteleri vardır. Daha fazla oku .

Image Credit: Ken Wolter, Shutterstock.com üzerinden
Image Credit: Ken Wolter, Shutterstock.com üzerinden

Hırsızlığın ölçeği diğer yakın tarihli önemli veri ihlallerini cömert eder ve Yahoo'daki güvenlik uygulamalarını sıkıca gündem altına alır.

Ne İhlal Edildi?

Yahoo bir açıklama yayınladı güvenlik ihlalini onaylama ve detaylandırmaverinin "devlet destekli" bilgisayar korsanları tarafından çalındığını iddia ediyor. 2014 yılında isimler, e-posta adresleri, telefon numaraları ve güvenlik soruları gibi bilgiler şirketten çalındı.

“Yahoo tarafından yakın zamanda yapılan bir araştırma, belirli kullanıcı hesabı bilgilerinin bir kopyasının 2014'ün sonlarında devlet destekli bir aktör olduğuna inandığımız ağımızdan çalındığını doğruladı. Kolluk kuvvetleriyle yakın bir şekilde çalışıyoruz ve potansiyel olarak etkilenen kullanıcıları hesaplarını daha fazla güvenceye alabilecekleri yollarla bilgilendiriyoruz. ”

instagram viewer

Bir küçük pozitif, ihlalin “korumasız şifreler, ödeme kartı verileri veya banka hesabı bilgileri” içermediğini öğrenir. Bununla birlikte, Yahoo tarafından yayınlanan ifadeler, güvenlik araştırmacılarının olayların zaman çizelgesi ve şirketin takip eden günlerdeki eylemleriyle ilgili daha fazla soru soracaktır. ihlal.

KIRMA: 500 Milyon #yahoo 2014 Hack Uzlaşılan Hesaplar. Diğer şok edici haberlerde, 500 milyon kişinin Yahoo hesapları var.

- Ben Canner (@InfoSec_Review) 22 Eylül 2016

Önemli Sorular Sorma

Pek çok güvenlik araştırmacısı soru listesinin tepesinde “bir kesmek onaylamak neden bu kadar uzun sürdü İhlalleri Gizli Tutan Şirketler Neden İyi Bir Şey Olabilir?Çevrimiçi olarak bu kadar çok bilgi ile, hepimiz olası güvenlik ihlallerinden endişe ediyoruz. Ancak bu ihlaller sizi korumak için ABD'de gizli tutulabilir. Çılgınca geliyor, peki neler oluyor? Daha fazla oku bu ölçeğin? ” Bu kolayca başka sorulara da yönelir. Yahoo, kullanıcılarını ihlal konusunda bilgilendirmek neden bu kadar uzun sürdü?

Yahoo şimdi müşterilere ihlal bildirimleri gönderiyor: pic.twitter.com/AjbDJYQCIH

- Troy Avı (@troyhunt) 23 Eylül 2016

Devlet destekli bir saldırı kavramı da şaşırtıcıdır. Şu ana kadar Yahoo, ihlali bir ulus devlet aktörüne bağlayan herhangi bir kanıt üretemedi, ancak isimle tanımlanmayı reddeden üç ABD istihbarat yetkilisi - Reuters tarafından onaylandı:

“… Rus istihbarat teşkilatlarına veya onların yönünde hareket eden hackerlara izlenen önceki saldırılara benzemesi nedeniyle saldırının devlet destekli olduğuna inanıyorlardı.”

İhlali olsa bile önceki ulus-devlet saldırılarına benzerlik göstermek Hükümetler Saldırdığında: Ulus-Devlet Zararlı Yazılımları Maruz KaldıŞu anda internet tarafından gizlenen bir siber savaş gerçekleşiyor, sonuçları nadiren gözlemleniyor. Peki bu savaş tiyatrosundaki oyuncular kimler ve silahları neler? Daha fazla oku , bu ihlaller tipik olarak özel kullanıcı verilerinin yayınlanmasıyla sonuçlanmaz. Rarer hala onları buluyor karanlık web'de satışa sunulan reklam bilgileri Karanlık Web'de Kimliğinizin Değeri OlabilirKendinizi bir meta olarak düşünmek rahatsızlık vericidir, ancak ad ve adresten banka hesabı detaylarına kadar tüm kişisel bilgileriniz çevrimiçi suçlulara değecektir. Ne kadar değersin? Daha fazla oku .

Daha fazla entrika eklemek, veri ihlalinin bir kısmını satan kişinin kimliğidir. MySpace ve LinkedIn ihlallerinin veri dökümlerini de satan “İçiniz Rahat” adlı bir kullanıcı, verileri aktif bir şekilde ortaya koyuyordu.

Hacker
Image Credit: Shutterstock üzerinden adike

SentinelOne'da güvenlik stratejisi başkanı Jeremiah Grossman, dedim “Bilgilerin 2014'ün sonlarında çalındığını bildiğimiz halde, Yahoo'nun bu ihlali ilk ne zaman öğrendiğine dair herhangi bir işaretimiz yok. Bu hikayede önemli bir ayrıntı. ”

Grossman, Huzurun bir “vurguncu korsan” olduğu için devlet sponsorluğu alma ihtimalinin düşük olduğuna inanıyor; sonuç olarak, "bu, sistemlerinde iki farklı bilgisayar korsanlığı grubuyla iki farklı Yahoo ihlaline bakmamızın mümkün olduğu anlamına gelir."

“Bu siber saldırıdan etkilenen çok sayıda insan şaşırtıcı ve bir güvenlik saldırısının sonuçlarının ne kadar ciddi olabileceğini gösteriyor… bu hacklemenin nasıl gerçekleştiğiyle ilgili tüm ayrıntıları henüz bilmiyorum, ancak burada kişisel olarak edinen ve idare eden şirketler için ayıltıcı ve önemli bir mesaj var veri. İnsanların kişisel bilgileri kilit altında ve anahtar altında güvenli bir şekilde korunmalıdır ve bu anahtarın bilgisayar korsanlarının bulması imkansız olmalıdır. ” - İngiltere Bilgi Komiseri Elizabeth Denham

Bu Ne Kadar Ciddi?

Yahoo’nun açıklaması, çalınan şifrelerin büyük çoğunluğunun bcrypt kullanılarak özetlendiğini doğruladı. Karma, bir parolayı, kullanıcı oturum açmaya çalıştığında hatırlanan ve kontrol edilen sabit uzunlukta bir “parmak izine” dönüştürme işlemidir. Kullanıcı bilgilerini korumak için temel bir yöntemdir Her Güvenli Web Sitesi Bunu Şifrenizle YaparWeb sitelerinin şifrenizi veri ihlallerinden nasıl koruduğunu hiç merak ettiniz mi? Daha fazla oku henüz hala bazı web siteleri tarafından göz ardı ediliyor Parolaları Kırmada Kullanılan En Yaygın 7 Taktik"Güvenlik ihlali" sözlerini duyduğunuzda aklınıza ne geliyor? Kötü niyetli bir hacker mı? Bodrumda yaşayan bir çocuk mu? Gerçek şu ki, gereken tek şey bir parola ve bilgisayar korsanlarının sizinkini almanın 7 yolu var. Daha fazla oku .

Bcrypt güvenli bir hash yöntemi olarak kabul edilir. hashes de “tuzlu” Web Siteleri Şifrelerinizi Nasıl Güvende tutar?Bildirilen düzenli çevrimiçi güvenlik ihlalleri ile, web sitelerinin şifrenize nasıl baktığı konusunda şüpheniz yoktur. Aslında gönül rahatlığı için bu herkesin bilmesi gereken bir şey… Daha fazla oku aynı şifreyi koruyor olsa bile, her karmanın farklı olacağı bir işlem.

Parolalar rahatsız edici ancak değiştirilmesi kolaydır; bir annenin kızlık soyadı değildir. Bilgisayar korsanları düz metin güvenlik sorularını da ihlal etti. Güvenlik soruları uzun süredir inceleniyor Başka hiç kimsenin tahmin edemediği bir güvenlik sorusu nasıl oluşturulurSon haftalarda, çevrimiçi hesapları nasıl kurtarılacağına dair çok şey yazdım. Tipik bir güvenlik seçeneği bir güvenlik sorusu oluşturmaktır. Bu potansiyel olarak hızlı ve kolay bir yol sağlarken ... Daha fazla oku önceki ihlallerdeki kullanıcı hesaplarını tanımlamadaki rolleri nedeniyle, yine de çoğu kullanıcı hesabı giriş sisteminin birincil özelliğini oluştururlar.

Buna göre Yahoo, tüm kullanıcılarına bir şifre sıfırlama mesajı gönderdi. Kullanıcılarını:

  • Yahoo Hesabınızla aynı veya benzer kimlik bilgilerini kullandığınız diğer hesaplar için şifrenizi ve güvenlik sorularınızı ve cevaplarınızı değiştirin.
  • Şüpheli etkinlik olup olmadığını görmek için hesaplarınızı inceleyin.
  • Kişisel bilgilerinizi isteyen veya sizi kişisel bilgi isteyen bir web sayfasına yönlendiren istenmeyen iletişimlere karşı dikkatli olun.
  • Şüpheli e-postalardaki bağlantıları tıklamaktan veya ekleri indirmekten kaçının.

İlk öneriyi yeterince vurgulayamayız. Ayrıca okuyucularımıza, fotoğraf depolama hizmeti Flickr veya sosyal yer imi sitesi Del.icio.us gibi giriş kimlik bilgilerini kullanmış olabilecekleri diğer siteleri de dikkate almalarını öneriyoruz.

Güvenli olmadığı anlaşılmadan bir Yahoo hesabı oluşturmuş olabilirsiniz.

Büyük Bir Eski İhlal

Yahoo şimdi istenmeyen bir taç alır Büyük LinkedIn Hesapları Sızıntısı Hakkında Bilmeniz GerekenlerBir hacker, Bitcoin'de yaklaşık 2.200 dolar karşılığında Dark web'de 117 milyon saldırıya uğramış LinkedIn kimlik bilgisi satıyor. LogMeOnce CEO'su ve kurucusu Kevin Shabazi, tam olarak neyin risk altında olduğunu anlamamıza yardımcı oluyor. Daha fazla oku : tarihteki en büyük kurumsal veri ihlali.

  • Yahoo - 500 milyon kullanıcı bilgisi
  • MySpace - 359 milyon
  • LinkedIn - 164m
  • Adobe - 152 dk.
  • Badoo - 112 metre

Temmuz 2016'da ABD telekomünikasyon devi Verizon, Yahoo’nun internet işini 5 milyar dolara satın aldı. Yine de, bu ihlalin ele geçirmeyi etkilemesi beklenmemektedir.

Verizon, bu öğleden sonra Yahoo güvenlik olayıyla ilgili açıklama yaptı. $ VZpic.twitter.com/KQTnyrjlJy

- Bob Varettoni (@bvar) Instagram fotoğrafları ve videoları 22 Eylül 2016

Tavsiyemiz, büyük veri ihlallerinde olduğu gibi kalır. Parolalarınızı sıfırlayın. Ayrıca, e-postalarınızı ve kısa mesajlarınızı önümüzdeki haftalarda ve aylarda inceleyin. Hatırla asla hesap kimlik bilgilerinizi tekrar kullanmayın.

Kimlik bilgilerinin yeniden kullanımı; bir kere bile değil.

Hesabınızın güvenliği ihlal edildi mi? Yahoo'nun harekete geçmesinin ne kadar sürdüğüne şaşırdınız mı? Daha sonra hangi büyük hizmet ihlal edilecek? Bize aşağıda düşüncelerinizi bildirin!

Gavin, MUO'nun kıdemli yazarıdır. Ayrıca MakeUseOf'un kripto odaklı kardeş sitesi Blocks Decoded için Editör ve SEO Yöneticisi. Devon'un tepelerinden ve on yıllık profesyonel yazma deneyiminden yağmalanan Dijital Sanat Uygulamaları ile BA (Hons) Çağdaş Yazısı var. Bol miktarda çay içiyor.