الإعلانات

عانت ياهو عملاق الويب من اختراق كبير للبيانات. أدى الاختراق ، الذي حدث في عام 2014 ، إلى معلومات عن 500 مليون مستخدم لـ Yahoo معروض للبيع على الويب المظلم 10 زوايا غير معروفة للويب العميق قد تعجبك بالفعلالويب المظلم له سمعة سيئة ، ولكن هناك بعض المواقع المظلمة المفيدة حقًا التي قد ترغب في التحقق منها. اقرأ أكثر .

حقوق الصورة: Ken Wolter عبر Shutterstock.com
حقوق الصورة: Ken Wolter عبر Shutterstock.com

إن حجم السرقة يتسبب في حدوث خروقات كبيرة أخرى للبيانات الأخيرة ، ويضع ممارسات الأمان في موقع Yahoo بقوة تحت الأضواء.

ما تم خرقه؟

أصدرت ياهو بيانا تأكيد وتفصيل الخرق الأمني، مؤكدا أن البيانات سرقت من قبل قراصنة "ترعاها الدولة". تمت سرقة المعلومات ، بما في ذلك الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف وأسئلة الأمان من الشركة في عام 2014.

"أكد تحقيق أجرته شركة Yahoo مؤخرًا أنه تم سرقة نسخة من معلومات حساب مستخدم معينة من شبكتنا في أواخر عام 2014 بسبب ما نعتقد أنه ممثل برعاية الدولة. نحن نعمل بشكل وثيق مع سلطات تطبيق القانون ونبلغ المستخدمين المتأثرين بالطرق التي يمكنهم من خلالها تأمين حساباتهم بشكل أكبر. "

يصل أحد الإيجابيات الصغيرة إلى علم أن الخرق لا يحتوي على "كلمات مرور غير محمية أو بيانات بطاقة دفع أو معلومات حساب مصرفي". ومع ذلك ، فإن البيانات الصادرة عن Yahoo ستثير أسئلة أخرى من الباحثين الأمنيين بشأن الجدول الزمني للأحداث ، وكذلك إجراءات الشركة في الأيام التالية الخرق.

instagram viewer

كسر: 500 مليون # ياهو الحسابات التي تم اختراقها في 2014 Hack. في أنباء مروعة أخرى ، 500 مليون شخص لديهم حسابات ياهو.

- بن كانر (InfoSec_Review) 22 سبتمبر 2016

إثارة أسئلة مهمة

بقوة على رأس قائمة أسئلة الباحثين الأمنيين سيكون ببساطة "لماذا استغرق الأمر وقتًا طويلاً لتأكيد الاختراق لماذا يمكن أن تكون الشركات التي تحتفظ بسرية خرق شيء جيدمع وجود الكثير من المعلومات عبر الإنترنت ، نشعر بالقلق جميعًا بشأن الخروقات الأمنية المحتملة. ولكن يمكن أن تظل هذه الانتهاكات سرية في الولايات المتحدة من أجل حمايتك. يبدو الأمر مجنونًا ، فما الذي يحدث؟ اقرأ أكثر من هذا المقياس؟ " هذا ينقسم بسهولة إلى أسئلة أخرى كذلك. لماذا استغرقت Yahoo وقتًا طويلاً لإبلاغ مستخدميها بالخرق؟

ترسل Yahoo الآن إشعارات خرق للعملاء: pic.twitter.com/AjbDJYQCIH

- تروي هانت (troyhunt) 23 سبتمبر 2016

إن فكرة الهجوم الذي ترعاه الدولة محيرة أيضًا. حتى الآن ، فشلت ياهو في تقديم أي دليل يربط الانتهاك بممثل الدولة القومية ، على الرغم من أن ثلاثة من مسؤولي المخابرات الأمريكية - الذين رفضوا الكشف عن أسمائهم - أكد لرويترز:

"... كانوا يعتقدون أن الهجوم كان برعاية الدولة بسبب تشابهه مع عمليات اختراق سابقة تم تتبعها لوكالات المخابرات الروسية أو المتسللين الذين يتصرفون في اتجاههم."

حتى لو كان الانتهاك كانت تشبه الهجمات السابقة للدولة القومية عندما تهاجم الحكومات: تتعرض الدولة للبرامج الضارةتجري الحرب السيبرانية الآن ، مخفية بواسطة الإنترنت ، ونادراً ما تتم ملاحظة نتائجها. لكن من هم اللاعبون في مسرح الحرب هذا ، وما هي أسلحتهم؟ اقرأ أكثر ، لا تؤدي هذه الانتهاكات عادةً إلى إصدار بيانات المستخدم الخاص. نادرًا ما يجدها الإعلان عن أوراق اعتماد معروضة للبيع على الويب المظلم إليك مقدار ما يمكن أن تكون هويتك له قيمة على الويب المظلممن غير المريح أن تفكر في نفسك كسلعة ، ولكن كل تفاصيلك الشخصية ، من الاسم والعنوان إلى تفاصيل الحساب المصرفي ، تستحق شيئًا للمجرمين عبر الإنترنت. كم أنت يستحق؟ اقرأ أكثر .

إضافة المزيد من الدسائس هو هوية جزء البيع الفردي لخرق البيانات. كان هناك مستخدم يدعى "راحة البال" ، قام ببيع مجموعات البيانات الخاصة بخروقات MySpace و LinkedIn ، كان يروج للبيانات بنشاط.

القراصنة
حقوق الصورة: adike عبر Shutterstock

إرميا غروسمان ، رئيس الاستراتيجية الأمنية في SentinelOne ، قال "بينما نعلم أن المعلومات سرقت في أواخر عام 2014 ، ليس لدينا أي إشارة إلى متى علمت Yahoo لأول مرة عن هذا الانتهاك. هذه تفاصيل مهمة في القصة ".

يعتقد غروسمان أنه بما أن "راحة البال" كانت "مخترق ربح" ، فمن غير المرجح أن يكون قد حصل على رعاية الدولة ؛ وبالتالي ، "هذا يعني أنه من الممكن أن ننظر إلى خرقين مختلفين لـ Yahoo مع مجموعتي قرصنة مختلفتين في نظامهما".

"إن العدد الهائل من الأشخاص المتضررين من هذا الهجوم السيبراني مذهل ويوضح مدى خطورة عواقب اختراق الأمن... نحن لا تعرف حتى الآن جميع تفاصيل كيفية حدوث هذا الاختراق ، ولكن هناك رسالة واقعية ومهمة هنا للشركات التي تكتسب وتتعامل مع الأمور الشخصية البيانات. يجب حماية المعلومات الشخصية للأشخاص بأمان تحت القفل والمفتاح - ويجب أن يكون هذا المفتاح مستحيلًا على المتسللين للعثور عليه ". - مفوضة معلومات المملكة المتحدة إليزابيث دينهام

ما مدى خطورة هذا؟

وأكد بيان ياهو أنه تم تجزئة الغالبية العظمى من كلمات المرور المسروقة باستخدام bcrypt. التجزئة هي عملية تحويل كلمة مرور إلى "بصمة" طولية يتم استدعاؤها وفحصها عندما يحاول المستخدم تسجيل الدخول. إنها طريقة أساسية لحماية معلومات المستخدم يقوم كل موقع آمن بذلك بكلمة المرور الخاصة بكهل تساءلت يومًا كيف تحافظ مواقع الويب على كلمة المرور الخاصة بك آمنة من اختراق البيانات؟ اقرأ أكثر ، حتى الآن لا تزال تتجاهل بعض المواقع 7 التكتيكات الأكثر شيوعا المستخدمة لاختراق كلمات المرورعندما تسمع "خرق أمني" ، ما الذي يتبادر إلى الذهن؟ هاكر خبيث؟ بعض الأطفال الذين يعيشون في القبو؟ الحقيقة هي أن كل ما هو مطلوب هو كلمة مرور ، ولدى المتسللين 7 طرق للحصول على كلمة المرور الخاصة بك. اقرأ أكثر .

يعتبر Bcrypt طريقة آمنة للتجزئة كـ التجزئة أيضا "مملحة" كيف تحافظ مواقع الويب على أمان كلمات المرور الخاصة بك؟مع الإبلاغ عن خروقات أمنية منتظمة على الإنترنت ، لا شك في أنك قلق بشأن كيفية رعاية مواقع الويب لكلمة مرورك. في الواقع ، من أجل راحة البال ، هذا شيء يحتاج الجميع إلى معرفته ... اقرأ أكثر عملية تكون فيها كل علامة تجزئة مختلفة ، حتى لو كانت تحمي كلمة المرور نفسها.

كلمات المرور مزعجة ولكن من السهل تغييرها ؛ اسم الأم قبل الزواج ليس كذلك. انتهك المتسللون أيضًا أسئلة الأمان البسيطة. لقد خضعت الأسئلة الأمنية لفترة طويلة للتدقيق كيفية إنشاء سؤال أمني لا يمكن لأحد آخر تخمينهلقد كتبت في الأسابيع الأخيرة الكثير حول كيفية جعل الحسابات عبر الإنترنت قابلة للاسترداد. يعد خيار الأمان النموذجي هو إعداد سؤال أمان. في حين أن هذا من المحتمل أن يوفر طريقة سريعة وسهلة ... اقرأ أكثر لدورها في تحديد حسابات المستخدمين في الخروقات السابقة ، ومع ذلك فإنها لا تزال تشكل ميزة أساسية لمعظم أنظمة تسجيل الدخول إلى حساب المستخدم.

وبناءً على ذلك ، أرسلت Yahoo رسالة إلى جميع مستخدميها بإعادة تعيين كلمة المرور. يشجعون مستخدميهم على:

  • قم بتغيير كلمة المرور وأسئلة الأمان وإجاباتها لأي حسابات أخرى تستخدم عليها نفس بيانات الاعتماد أو بيانات مماثلة لتلك المستخدمة في حساب Yahoo الخاص بك.
  • راجع حساباتك بحثًا عن نشاط مريب.
  • كن حذرًا من أي اتصالات غير مرغوب فيها تطلب معلوماتك الشخصية أو تحيلك إلى صفحة ويب تطلب معلومات شخصية.
  • تجنب النقر على الروابط أو تنزيل المرفقات من رسائل البريد الإلكتروني المشبوهة.

لا يمكننا التأكيد على الاقتراح الأول بما فيه الكفاية. كما ننصح قرائنا بالنظر في المواقع الأخرى التي ربما استخدموا بيانات اعتماد تسجيل الدخول معها ، مثل خدمة تخزين الصور Flickr أو موقع الإشارات المرجعية الاجتماعية Del.icio.us.

ربما تكون قد أنشأت حساب Yahoo دون أن تدرك أنه غير آمن.

خرق قديم كبير

ياهو الآن يأخذ تاجًا غير مرغوب فيه ما تحتاج إلى معرفته عن تسرب حسابات LinkedIn الضخمةيبيع الهاكر 117 مليون من بيانات اعتماد LinkedIn المخترقة على الويب المظلم مقابل حوالي 2200 دولار في بيتكوين. كيفن Shabazi ، الرئيس التنفيذي ومؤسس LogMeOnce ، يساعدنا على فهم فقط ما هو في خطر. اقرأ أكثر : أكبر اختراق لبيانات الشركة في التاريخ.

  • ياهو - 500 مليون بيانات اعتماد المستخدم
  • ماي سبيس - 359 م
  • لينكدإن - 164 م
  • أدوبي - 152 م
  • بادو - 112 م

في يوليو 2016 ، قامت شركة الاتصالات الأمريكية العملاقة فيريزون بالاستحواذ على أعمال ياهو على الإنترنت بقيمة 5 مليار دولار. على الرغم من أن هذا الخرق لا يتوقع أن يؤثر على عملية الاستحواذ.

بيان فيريزون بعد ظهر اليوم بشأن حادث أمان ياهو. VZ $pic.twitter.com/KQTnyrjlJy

- بوب فاريتوني (vvar) 22 سبتمبر 2016

لا تزال نصيحتنا كما هي مع أي خرق كبير للبيانات. إعادة تعيين كلمات المرور الخاصة بك. تحقق أيضًا من رسائل البريد الإلكتروني والرسائل النصية على مدار الأسابيع والأشهر القادمة. تذكر أن لا تعيد استخدام بيانات اعتماد حسابك مطلقًا.

إعادة استخدام أوراق الاعتماد ولا حتى مرة.

هل تم اختراق حسابك؟ هل أنت مندهش من الوقت الذي استغرقته ياهو للعمل؟ ما الخدمة الرئيسية التي سيتم اختراقها بعد ذلك؟ أخبرنا بما تفكر به في أسفل الشاشة!

جافين هو كاتب أول في MUO. وهو أيضًا محرر ومدير تحسين محركات البحث لموقع شقيق MakeUseOf الذي يركز على التشفير ، Blocks Decoded. حصل على درجة البكالوريوس (مع مرتبة الشرف) في الكتابة المعاصرة مع ممارسات الفن الرقمي المنهوبة من تلال ديفون ، بالإضافة إلى أكثر من عقد من الخبرة في الكتابة المهنية. يتمتع بكميات وفيرة من الشاي.