In 2012 werd LinkedIn gehackt door een onbekende Russische entiteit en werden zes miljoen gebruikersreferenties online gelekt. Vier jaar later bleek dat de hack veel erger was dan we aanvankelijk hadden verwacht. In een rapport dat is gepubliceerd door Vice's Motherboard, heeft een hacker Peace al 117 miljoen LinkedIn-referenties op het Dark-web verkocht voor ongeveer $ 2200 in Bitcoin.
Hoewel deze aflevering voor LinkedIn een voortdurende hoofdpijn is, zal het onvermijdelijk erger zijn voor de duizenden gebruikers van wie de gegevens online zijn gespat. Mij helpen erachter te komen is Kevin Shabazi; een toonaangevende beveiligingsexpert en de CEO en oprichter van LogMeOnce.
De LinkedIn-lekkage begrijpen: hoe erg is het eigenlijk?
Zittend met Kevin ging het eerste wat hij deed de nadruk op de enorme omvang van dit lek. "Als het cijfer van 117 miljoen gelekte inloggegevens er gigantisch lijkt uit te zien, moet je jezelf hergroeperen. In het eerste kwartaal van 2012 had LinkedIn in totaal 161 miljoen leden. Dit betekent dat hackers in die tijd niet alleen 117 miljoen records namen. "
"In wezen hebben ze maar liefst 73% van LinkedIn's volledige database van lidmaatschap weggenomen."
Deze cijfers spreken voor zich. Als je de gegevens zuiver peilt in termen van uitgelekte records, is het vergelijkbaar met andere big-name-hacks, zoals het PlayStation Network-lek van 2011 of het lek van Ashley Madison van vorig jaar. 3 Redenen waarom de Ashley Madison-hack een serieuze zaak is 3 Redenen Waarom de Ashley Madison-hack een serieuze aangelegenheid is Het internet lijkt extatisch over de hack van Ashley Madison, waarbij miljoenen overspelige en potentiële overspelige personen zijn gehackt en online zijn vrijgegeven, met artikelen over individuen die in de gegevensverzameling zijn gevonden. Hilarisch, toch? Niet zo snel. Lees verder . Kevin wilde graag benadrukken dat deze hack echter een fundamenteel ander beest is. Omdat de PSN-hack puur was om creditcardinformatie te verkrijgen, en de hack van Ashley Madison puur om het bedrijf en zijn gebruikers pijnlijk te schaden, de LinkedIn-hack " een zakelijk gericht sociaal netwerk overspant tot wantrouwen". Het kan ertoe leiden dat mensen de integriteit van hun interacties op de site in vraag stellen. Dit zou voor LinkedIn fataal kunnen zijn.
Vooral wanneer de inhoud van de gegevensdump ernstige vragen oproept over het beveiligingsbeleid van het bedrijf. De initiële dump bevatte gebruikersreferenties, maar volgens Kevin waren de gebruikersreferenties niet correct gecodeerd.
"LinkedIn moet een hash en salt op elk wachtwoord hebben toegepast, waarbij een paar willekeurige tekens zijn toegevoegd. Deze dynamische variatie voegt een tijdselement toe aan het wachtwoord, dat gebruikers bij het stelen ruim de tijd hebben om het te wijzigen. "
Ik wilde weten waarom de aanvallers tot vier jaar hadden gewacht voordat ze naar het donkere web lekten. Kevin erkende dat de aanvallers veel geduld hadden getoond met het verkopen ervan, maar dat was waarschijnlijk omdat ze er mee experimenteerden. "Je moet aannemen dat ze eromheen codeerden terwijl je wiskundige kansen ontwikkelde om gebruikersentrends, gedrag en uiteindelijk wachtwoordgedrag te bestuderen en te begrijpen. Stel je het nauwkeurigheidsniveau voor als je 117.000.000 werkelijke inputs indient om een curve te creëren en een fenomeen te bestuderen! "
Kevin zei ook dat het waarschijnlijk is dat de gelekte referenties werden gebruikt om andere services, zoals Facebook- en e-mailaccounts, in gevaar te brengen.
Het is begrijpelijk dat Kevin ontzettend kritisch is over de reactie van LinkedIn op het lek. Hij beschreef het als "gewoon ontoereikend". Zijn grootste klacht is dat het bedrijf hun gebruikers niet op de hoogte bracht van de stuitligging toen het gebeurde. Transparantie, zegt hij, is belangrijk.
Hij betreurt ook het feit dat LinkedIn geen praktische stappen ondernam om hun gebruikers te beschermen, toen het lek zich voordeed. "Als LinkedIn toen corrigerende maatregelen had genomen, een wachtwoord had moeten veranderen en vervolgens met de gebruikers had samengewerkt om hen op de hoogte te brengen van beste praktijken op het gebied van beveiliging, dan zou dat goed zijn geweest". Kevin zegt dat als LinkedIn het lek gebruikt als een kans om hun gebruikers te informeren over de noodzaak om sterke wachtwoorden te maken. Hoe maak je sterke wachtwoorden die bij je persoonlijkheid passen? Genereer sterke wachtwoorden die bij je persoonlijkheid passen. Zonder een sterk wachtwoord zou je snel jezelf kunnen vinden. het ontvangende einde van een cybercriminaliteit. Een manier om een gedenkwaardig wachtwoord te maken, kan zijn om het aan uw persoonlijkheid aan te passen. Meer lezen die niet worden gerecycled en om de negentig dagen worden vernieuwd, de gegevensverzameling zou vandaag minder waard zijn.
Wat kunnen gebruikers doen om zichzelf te beschermen?
Kevin raadt gebruikers af om naar Dark te gaan. Journey Into The Hidden Web: een gids voor nieuwe onderzoekers Journey Into The Hidden Web: gids voor nieuwe onderzoekers Deze handleiding neemt je mee op een tour door de vele niveaus van het deep web : databases en informatie beschikbaar in wetenschappelijke tijdschriften. Uiteindelijk komen we aan bij de poorten van Tor. Lees Meer om te zien of ze zich in de vuilnisbak bevinden. In feite zegt hij dat er geen reden is voor een gebruiker om te bevestigen of ze überhaupt zijn aangetast. Volgens Kevin moeten alle gebruikers beslissende stappen nemen om zichzelf te beschermen.
Het loont de moeite om eraan toe te voegen dat het LinkedIn-lek bijna zeker zijn weg zal vinden naar Troy Hunt's Have I Been Pwned, waar gebruikers hun status veilig kunnen controleren.
Wat moet je doen? Ten eerste, zegt hij, moeten gebruikers uitloggen bij hun LinkedIn-accounts op alle aangesloten apparaten en op één apparaat hun wachtwoord wijzigen. Maak het sterk. Hij raadt mensen aan hun wachtwoorden te genereren met behulp van een willekeurige wachtwoordgenerator 5 manieren om veilige wachtwoorden te genereren op Linux 5 manieren om veilige wachtwoorden te genereren op Linux Het is cruciaal om sterke wachtwoorden voor uw online accounts te gebruiken. Zonder een veilig wachtwoord kunnen anderen gemakkelijk jouw wachtwoord kraken. U kunt er echter voor kiezen dat uw computer er een voor u uitkiest. Lees verder .
Toegegeven, dit zijn lange, logge wachtwoorden en moeilijk voor mensen om te onthouden. Dit is, zegt hij, geen probleem als je een wachtwoordbeheerder gebruikt. "Er zijn meerdere gratis en betrouwbare, waaronder LogMeOnce."
Hij benadrukt dat het kiezen van de juiste wachtwoordmanager belangrijk is. "Kies een wachtwoordbeheerder die 'injectie' gebruikt om wachtwoorden in de juiste velden in te voegen, in plaats van gewoon te kopiëren en plakken vanaf het klembord. Dit helpt u om hackaanvallen via keyloggers te voorkomen. "
Kevin benadrukt ook het belang van het gebruik van een sterk hoofdwachtwoord voor je wachtwoordbeheerder.
"Kies een hoofdwachtwoord dat uit meer dan 12 tekens bestaat. Dit is de sleutel tot je koninkrijk. Gebruik een zin om te onthouden, zoals "$ _I Love BaseBall $". Dit duurt ongeveer 5 Septillion jaar om te worden gekraakt "
Mensen moeten zich ook houden aan de beveiligingsrichtlijnen. Dit omvat het gebruik van twee-factorenauthenticatie Vergrendelen Deze services nu met twee-factorenauthenticatie Vergrendelen Deze services nu met tweefactorverificatie Twee-factor-authenticatie is de slimme manier om uw online accounts te beschermen. Laten we een paar van de services bekijken die u kunt vergrendelen met een betere beveiliging. Lees verder . "Twee-factor authenticatie (2FA) is een beveiligingsmethode waarbij de gebruiker twee lagen of stukjes identificatie moet voorzien. Dit betekent dat je je inloggegevens beschermt met twee verdedigingslagen - iets dat je 'weet' (een wachtwoord) en iets dat je 'hebt' (een eenmalig token) ".
Ten slotte adviseert Kevin dat LinkedIn-gebruikers iedereen in hun netwerk van de hack op de hoogte stellen, zodat ook zij beschermende maatregelen kunnen nemen.
Een aanhoudende hoofdpijn
Het lek van meer dan honderd miljoen records uit de database van LinkedIn is een voortdurend probleem voor een bedrijf waarvan de reputatie is aangetast door andere spraakmakende veiligheidsschandalen. Wat er daarna gebeurt is de gok van iemand.
Als we de hacks PSN en Ashley Madison als onze routekaarten gebruiken, kunnen we verwachten dat cybercriminelen die geen verband houden met de oorspronkelijke hack, misbruik kunnen maken van de gelekte gegevens en deze kunnen gebruiken om getroffen gebruikers af te persen. We kunnen ook van LinkedIn verwachten dat ze zich kruipen met excuses aanbieden aan hun gebruikers, en hen iets aanbieden - misschien geld, of meer waarschijnlijk een premium accounttegoed - als teken van berouw. Hoe dan ook, gebruikers moeten op het ergste voorbereid zijn en proactieve maatregelen nemen. Bescherm uzelf met een jaarlijkse beveiliging en privacycheck Bescherm jezelf met een jaarlijkse beveiliging en privacycheck We zitten bijna twee maanden in het nieuwe jaar, maar er is nog tijd om maak een positieve resolutie. Vergeet minder cafeïne te drinken - we hebben het over stappen ondernemen om online veiligheid en privacy te waarborgen. Lees meer om zichzelf te beschermen.
Image Credit: Sarah Joy via Flickr