Iklan

Raksasa web Yahoo telah mengalami pelanggaran data yang sangat besar. Pelanggaran, yang terjadi pada tahun 2014, menghasilkan informasi dari 500 juta pengguna Yahoo ditawarkan untuk dijual di web gelap 10 Sudut Sedikit yang Dikenal di Web Dalam yang Mungkin Anda SukaiWeb gelap memiliki reputasi buruk, tetapi ada beberapa situs web gelap yang sangat berguna yang mungkin ingin Anda periksa. Baca lebih banyak .

Kredit Gambar: Ken Wolter via Shutterstock.com
Kredit Gambar: Ken Wolter via Shutterstock.com

Skala pencurian kerdil lainnya baru-baru ini melanggar data utama, dan menempatkan praktik keamanan di tempat di Yahoo dengan kuat di bawah sorotan.

Apa Yang Telah Dilanggar?

Yahoo mengeluarkan pernyataan mengkonfirmasikan dan merinci pelanggaran keamanan, membuat pernyataan bahwa data itu dicuri oleh peretas "yang disponsori negara". Informasi, termasuk nama, alamat email, nomor telepon, dan pertanyaan keamanan dicuri dari perusahaan pada tahun 2014.

“Investigasi baru-baru ini oleh Yahoo telah mengkonfirmasi bahwa salinan informasi akun pengguna tertentu dicuri dari jaringan kami pada akhir 2014 oleh apa yang kami yakini sebagai aktor yang disponsori negara. Kami bekerja sama dengan pihak penegak hukum dan memberi tahu pengguna yang berpotensi terkena dampak cara mereka dapat mengamankan akun mereka lebih lanjut. "

instagram viewer

Satu positif kecil muncul dalam pengetahuan bahwa pelanggaran tidak mengandung "kata sandi yang tidak dilindungi, data kartu pembayaran, atau informasi rekening bank." Meskipun demikian, itu pernyataan yang dikeluarkan oleh Yahoo akan menimbulkan pertanyaan lebih lanjut dari peneliti keamanan mengenai jadwal waktu kejadian, serta tindakan perusahaan pada hari-hari berikutnya pelanggaran.

BREAKING: 500 Juta #Yahoo Akun yang Dikompromikan dalam Hack 2014. Dalam berita mengejutkan lainnya, 500 juta orang memiliki akun Yahoo.

- Ben Canner (@InfoSec_Review) 22 September 2016

Mengajukan Pertanyaan Penting

Tegas di atas banyak daftar peneliti keamanan pertanyaan hanya akan "mengapa butuh waktu lama untuk mengonfirmasi peretasan Mengapa Perusahaan Menjaga Pelanggaran Rahasia bisa menjadi Hal yang BaikDengan begitu banyak informasi online, kita semua khawatir tentang kemungkinan pelanggaran keamanan. Tapi pelanggaran ini bisa dirahasiakan di AS untuk melindungi Anda. Kedengarannya gila, jadi apa yang terjadi? Baca lebih banyak skala ini? " Ini dengan mudah memisahkan pertanyaan lain, juga. Mengapa Yahoo butuh waktu lama untuk menginformasikan pelanggarannya kepada penggunanya?

Yahoo sekarang mengirimkan pemberitahuan pelanggaran kepada pelanggan: pic.twitter.com/AjbDJYQCIH

- Troy Hunt (@troyhunt) 23 September 2016

Gagasan tentang serangan yang disponsori negara juga membingungkan. Hingga saat ini, Yahoo telah gagal menghasilkan bukti yang menghubungkan pelanggaran tersebut dengan aktor negara-bangsa, meskipun tiga pejabat intelijen AS - yang menolak disebutkan namanya - dikonfirmasi ke Reuters:

"... mereka percaya serangan itu disponsori negara karena kemiripannya dengan peretasan sebelumnya yang ditelusuri ke agen intelijen Rusia atau peretas yang bertindak atas arahan mereka."

Bahkan jika melanggar memiliki kemiripan dengan serangan negara-bangsa sebelumnya Ketika Pemerintah Menyerang: Malware Negara-Negara TerkenaPerang cyber sedang berlangsung saat ini, disembunyikan oleh internet, hasilnya jarang terlihat. Tapi siapa pemain di teater perang ini, dan apa senjata mereka? Baca lebih banyak , pelanggaran tersebut biasanya tidak menghasilkan rilis data pengguna pribadi. Rarer masih menemukan itu kredensial diiklankan untuk dijual di web gelap Inilah Berapa Banyak Identitas Anda yang Bernilai di Web GelapTidak nyaman untuk menganggap diri Anda sebagai komoditas, tetapi semua detail pribadi Anda, dari nama dan alamat hingga detail rekening bank, bernilai bagi penjahat daring. Berapa nilai Anda? Baca lebih banyak .

Menambahkan intrik lebih lanjut adalah identitas bagian penjualan individu dari pelanggaran data. Seorang pengguna bernama "Peace of Mind," yang juga telah menjual data dumps MySpace dan LinkedIn, secara aktif menggembar-gemborkan data.

peretas
Kredit Gambar: adike via Shutterstock

Jeremiah Grossman, kepala strategi keamanan di SentinelOne, kata “Meskipun kami tahu informasi itu dicuri pada akhir 2014, kami tidak memiliki indikasi kapan Yahoo pertama kali mengetahui tentang pelanggaran ini. Ini adalah detail penting dalam cerita. ”

Grossman percaya bahwa karena Peace of Mind adalah "peretas yang berpatokan", mereka sangat tidak mungkin menerima sponsor negara; akibatnya, "ini berarti kita mungkin melihat dua pelanggaran Yahoo yang berbeda dengan dua kelompok peretasan yang berbeda dalam sistem mereka."

“Jumlah besar orang yang terkena serangan cyber ini mengejutkan dan menunjukkan seberapa parah konsekuensi dari peretasan keamanan dapat... Kami belum tahu semua detail tentang bagaimana peretasan ini terjadi, tetapi ada pesan penting dan serius di sini untuk perusahaan yang memperoleh dan menangani masalah pribadi data. Informasi pribadi orang harus dilindungi dengan aman di bawah kunci dan kunci - dan kunci itu harus mustahil ditemukan oleh peretas. " - Komisaris Informasi Britania Raya Elizabeth Denham

Seberapa Seriuskah Ini?

Pernyataan Yahoo mengkonfirmasi bahwa sebagian besar kata sandi yang dicuri di-hash menggunakan bcrypt. Hashing adalah proses mengubah kata sandi menjadi "sidik jari" panjang tetap yang dipanggil kembali dan diperiksa ketika pengguna mencoba masuk. Ini adalah metode dasar untuk melindungi informasi pengguna Setiap Situs Web Aman Melakukannya Dengan Kata Sandi AndaPernahkah Anda bertanya-tanya bagaimana situs web menjaga kata sandi Anda aman dari pelanggaran data? Baca lebih banyak , belum masih diabaikan oleh beberapa situs web 7 Taktik Paling Umum Digunakan Untuk Meretas Kata SandiKetika Anda mendengar "pelanggaran keamanan," apa yang muncul di benak Anda? Seorang peretas jahat? Beberapa anak yang tinggal di ruang bawah tanah? Kenyataannya adalah, yang dibutuhkan hanyalah kata sandi, dan peretas punya 7 cara untuk mendapatkan milik Anda. Baca lebih banyak .

Bcrypt dianggap sebagai metode hashing yang aman hash juga "asin," Bagaimana Situs Web Menjaga Kata Sandi Anda Aman?Dengan pelanggaran keamanan online reguler yang dilaporkan, Anda pasti khawatir tentang bagaimana situs web menjaga kata sandi Anda. Bahkan, untuk ketenangan pikiran, ini adalah sesuatu yang semua orang perlu tahu ... Baca lebih banyak sebuah proses di mana setiap hash akan berbeda, bahkan jika itu melindungi kata sandi yang sama.

Kata sandi menjengkelkan tetapi mudah diubah; nama gadis seorang ibu bukan. Peretas juga melanggar pertanyaan keamanan plaintext. Pertanyaan keamanan telah lama diteliti Cara Membuat Pertanyaan Keamanan yang Tidak Bisa Tebak Orang LainDalam beberapa minggu terakhir saya telah menulis banyak tentang cara membuat akun online dapat dipulihkan. Opsi keamanan tipikal adalah menyiapkan pertanyaan keamanan. Meskipun ini berpotensi memberikan cara cepat dan mudah untuk ... Baca lebih banyak untuk peran mereka dalam mengidentifikasi akun pengguna dalam pelanggaran sebelumnya, namun mereka masih membentuk fitur utama dari sebagian besar sistem login akun pengguna.

Karenanya, Yahoo telah mengirim pesan kepada pengguna untuk mengatur ulang kata sandi. Mereka mendorong penggunanya untuk:

  • Ubah kata sandi dan pertanyaan keamanan Anda dan jawaban untuk akun lain yang Anda gunakan kredensial yang sama atau serupa dengan yang digunakan untuk Akun Yahoo Anda.
  • Tinjau akun Anda untuk aktivitas mencurigakan.
  • Berhati-hatilah terhadap komunikasi yang tidak diminta yang meminta informasi pribadi Anda atau merujuk Anda ke halaman web yang meminta informasi pribadi.
  • Hindari mengklik tautan atau mengunduh lampiran dari email yang mencurigakan.

Kami tidak bisa cukup menekankan saran pertama. Kami juga menyarankan pembaca kami untuk mempertimbangkan situs lain yang mungkin menggunakan kredensial login mereka, seperti layanan penyimpanan foto Flickr, atau situs bookmark sosial Del.icio.us.

Anda mungkin telah membuat akun Yahoo tanpa menyadari bahwa itu tidak aman.

Pelanggaran Besar

Yahoo sekarang mengambil mahkota yang tidak diinginkan Yang Perlu Anda Ketahui Tentang Kebocoran Akun LinkedIn Besar-besaranSeorang hacker menjual 117 juta kredensial LinkedIn yang diretas di web Gelap untuk sekitar $ 2.200 dalam Bitcoin. Kevin Shabazi, CEO dan pendiri LogMeOnce, membantu kita untuk memahami apa yang berisiko. Baca lebih banyak : pelanggaran data perusahaan terbesar dalam sejarah.

  • Yahoo - 500 juta kredensial pengguna
  • MySpace - 359m
  • LinkedIn - 164m
  • Adobe - 152m
  • Badoo - 112m

Pada Juli 2016, raksasa telekomunikasi AS Verizon melakukan akuisisi bisnis internet Yahoo senilai $ 5 miliar. Padahal, pelanggaran ini diperkirakan tidak mempengaruhi pengambilalihan.

Pernyataan Verizon sore ini mengenai insiden keamanan Yahoo. $ VZpic.twitter.com/KQTnyrjlJy

- Bob Varettoni (@bvar) 22 September 2016

Saran kami tetap sama dengan pelanggaran data utama apa pun. Setel ulang kata sandi Anda. Juga, teliti email dan pesan teks Anda selama beberapa minggu dan bulan mendatang. Ingat untuk jangan pernah menggunakan kembali kredensial akun Anda.

Penggunaan kembali kredensial; bahkan tidak sekali.

Apakah akun Anda dikompromikan? Apakah Anda terkejut dengan berapa lama yang diperlukan Yahoo untuk bertindak? Layanan utama mana yang akan dilanggar selanjutnya? Beri tahu kami pemikiran Anda di bawah ini!

Gavin adalah Penulis Senior untuk MUO. Dia juga Editor dan Manajer SEO untuk situs saudara perempuan yang berfokus pada crypto MakeUseOf, Blocks Decoded. Ia memiliki gelar BA (Hons), Menulis Kontemporer dengan Praktik Seni Digital yang dijarah dari perbukitan Devon, serta lebih dari satu dekade pengalaman menulis profesional. Dia menikmati banyak teh.