Szinte már meg sem lepődünk a napi betevő feltörési híreken, igaz nehéz is követni, éppen mikor melyiket veszik célba a bűnözők. Nemrégiben az a Peace nevű elkövető hallatott ismét magáról, aki korábban feltört LinkedIn accountokat is árusított a dark weben. Ezúttal állítása szerint 200 millió Yahoo! postafiók belépési adata "hullott az ölébe", amit a napokban áruba is bocsátott.
A Yahoo! üzemeltetői egyelőre még időt kértek, hogy hivatalosan megerősítsék az adatsértés tényét, illetve vizsgálják a kiszivárgott jelszavak valódiságát, és naprakészségét is, magyarán meg kell állapítaniuk, hogy valamilyen korábbi - például 2012-es régebbi - vagy valóban pillanatnyilag is aktuális adatokról van-e szó.
A BBC értesülése szerint Peace 3 Bitcoint (hozzávetőlegesen 478 ezer forint) kér az adatokért letöltési példányonként, amiben felhasználónevek, jelszavak és születési adatok is szerepelnek. A Wired magazin interjút is készített az orosz elkövetővel, aki szerint mindez jó móka és remek pénzkereset, hiszen a spamterjesztők örömmel fizetnek ezekért.
A nagy számú állítólagosan kompromittált Yahoo! fiók miatt a felhasználók jól teszik, ha elővigyázatosságból haladéktalanul jelszót változtatnak. Illetve akik esetleg több helyen is ugyanazt a jelszót használták, azoknak most extra feladatként ezzel is lesz teendőjük: mindenhol legyen új erős és egyedi a bejelentkezésük.
Emellett igen hasznos, ha minden lehetséges helyszínen - Google, Facebook, PayPal, Snapchat, AppleID, Twitter, LinkedIn, stb. - élünk a kétfaktoros hitelesítési lehetőséggel. Ahol ez nem alapértelmezett, ott nekünk kell kiválasztani, de mindenféleképpen érdemes, mert ezzel tényleg nagyfokú biztonság érhető el a bejelentkezéseknél.
Emlékezetes, hogy a csúfos LinkedIn incidensnél szimpla SHA-1 algoritmussal dolgoztak, és teljességgel hiányzott a Salted hash. Végül pedig csak jó két esztendővel később, 2014-ben valósultak meg az olyan biztonságnövelő intézkedések, mint például a bejelentkezéssel kapcsolatos kontroll, ahol arra is lett lehetőségünk, hogy az elfelejtett kilépés vagy gyanús aktivitás miatti bejelentkezéseket távolról megszakítsuk és őket azonnal kiléptessük.
2014-től megszületett végre a két faktoros autentikáció lehetősége is a LinkedIn alatt, sőt a jelszóváltoztatásról külön e-mailes emlékeztető értesítést lehet már kérni, ki mikor, milyen böngésző, milyen operációs rendszer alól, milyen IP címről és földrajzilag nagyjából honnan kezdeményezte mindezt.
Hóhér az utolsó barátod · http://internetszemete.blog.hu 2016.08.03. 20:47:03