Еще один громкий скандал со взломами аккаунтов всколыхнул сеть. Еще один повод задуматься о том, насколько двусторонняя аутентификация необходима каждому, появился у пользователей.
На этот раз оказалась скомпрометирована система защиты данных крупнейшей социальной сети для деловых людей LinkedIn. Впервые о похищении учетных записей с этого ресурса стало известно четыре года назад — летом 2012. Тогда хакеры получили в свое распоряжение адреса электронной почты и пароли пользователей LinkedIn. Вскоре после утечки 6.5 миллионов из них были выложены в интернет. Компания не смогла отрицать взлом и по своей инициативе обнулила пароли для тех аккаунтов, чьи данные были опубликованы. Однако, потери, которые в 2012 понесла защита данных LinkedIn, оказались на порядок больше, чем предполагалось ранее.
Несколько дней назад на одной из торговых площадок даркнета появилось предложение о продаже информации о пользователях LinkedIn, размещенное хакером, назвавшимся Peace_of_mind. За лот, содержащий данные 167 млн. аккаунтов (из них 117 млн. с паролями), взломщик запросил эквивалент 2200 долларов в биткоинах. По мнению специалистов и представителей LinkedIn это та самая база, которая “утекла” четыре года назад.
Вскоре после появления базы данных 167 млн. пользователей LinkedIn в продаже, группой хакеров OurMine Team были взломаны страницы нескольких топ-персон вTwitter и Tumblr. Среди пострадавших — автор известнейшей игры Minecraft М.Перссон, поп-звезда Д.Чой и даже основатель Twitter Б.Стоун. Хакеры, правда, утверждают, что в своей “работе” не использовали данные утечки 2012 года. Однако, все жертвы имели учетные записи LInkedIn, связанные с другими аккаунтами и входящие в число скомпрометированных. Совпадение?
Что делать пострадавшим от взлома аккаунтов в LinkedIn
Чтобы не потерять больше, чем уже потеряно по вине хакеров и беспечности руководства LinkedIn, следует срочно сделать три вещи:
- Поменять пароль в LinkedIn. Хотя сервис уже обнулил пароли, лучше все же подобрать свою комбинацию. После произошедшего как-то не вызывает доверия администрация этой социальной сети, которая четыре года подряд скрывала масштаб проблемы утечки данных — видимо, надеясь, что все “рассосется” само собой. Поэтому разумно будет создать новый пароль аутентификации для страницы LinkedIn, который будет соответствовать всем правилам безопасности.
- Изменить пароли для всех своих аккаунтов. Часто учетные записи на разных ресурсах так или иначе связаны. Взломав одну из них, можно получить доступ и к остальным (как, скорее всего, произошло с Чой, Стоуном и другими). До сих пор, несмотря на все предупреждения, огромное число пользователей использует для разных сайтов, в лучшем случае, всего 2-3 пароля. Иногда же вообще имеется только один, “универсальный”. При таких условиях защита данных пользователя в своей эффективности уверенно стремится к нулю. Спасти положение способна только продуманная настройка аутентификации на каждом ресурсе. Иметь отдельный пароль для каждого аккаунта — совершенно необходимая мера предосторожности.
- Двусторонняя аутентификация. Чтобы избежать повторения подобных историй в будущем, на тех сайтах, которые позволяют это, обязательно должна быть подключена двухфакторная аутентификация. Даже если хакеры взломают общую базу данных, они не смогут взять под контроль, по крайней мере, те учетные записи, которые защищает двухфакторная аутентификация.
На последнем пункте стоит остановиться немного подробнее. Многие пользователи считают, что двусторонняя аутентификация — дело хлопотное, отнимающее много времени и не всегда надежное. Надо сказать, что это мнение не лишено оснований, если иметь в виду привычную всем 2FA (two-factor authentication) c помощью SMS-сообщений. Перехватить SMS для опытных злоумышленников часто не составляет труда: телефонные сети, как правило, используют открытые каналы связи без всякого шифрования. Так стоит ли тратить время на получение и отправку ОТР (one time password), который можно перехватить?
Между тем, способы аутентификации сегодня не ограничиваются SMS-сообщениями. Одним из лучших инструментов для подтверждения легитимности пользователя является ОТР-токен. С его использованием двусторонняя аутентификация станет гораздо более защищенной. Ведь токен работает автономно и генерирует одноразовые пароли без подключения к открытым сетям. На это устройство (token) в силу его автономности не смогут проникнуть трояны или другие вирусы, которыми часто заражены компьютеры и смартфоны. Современные токены предоставляют возможность изменения различных параметров генерации временных паролей, не лишая их при этом надежности. Например, в токенах от Протектимус (Slim mini, Smart и др.) многое поддается настройке: от выбора длины и настройки PIN-кода до срока действия создаваемого пароля. Эти функции способны значительно усложнить мошенникам перехват и подбор пароля.
Двусторонняя аутентификация поддерживается сегодня большинством крупных сайтов и сервисов. В том числе, и LinkedIn. Правда, использовать ее никого обычно не принуждают. А значит, только от самих владельцев аккаунтов зависит, будет ли их сетевая жизнь спокойной и безопасной.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!