Om det finns en lärdom att dra från sökning på Internet jätten Yahoo helvetiskt senaste året, det är ett bistert belysande: ta Aldrig för givet att en it-säkerhet katastrof kan inte bli värre.
I September förra året, Internet portal avslöjade att det hade lidit
de mest skadliga och omfattande dataintrång i historia-bara för att sedan presentera i December upptäckten av en
andra, tidigare, och även större hack.
Sedan upptäckten, försäljning av bolaget till Verizon har satts i fara, eftersom Yahoo-som nyligen meddelat sitt namn skulle byta till “Altaba” — började en sond i-hack som beräknas ta flera veckor. Vi får inte veta den fulla omfattningen av dessa hack’ effekter för år, ja, det tog år för brott för att ens bli upptäckta.
Vad som är känt är att dessa mödor var en lång tid att komma. Yahoo hacka var inte handlingar av Gud, faller från himlen och slår ett olyckligt offer; de var ett direkt resultat av bolagets fortsatta försummelse av informationssäkerhet som en viktig prioritering för att göra affärer.
Systemiska Problem
Tragedin i Yahoo ‘ s problem är inte bara att dess system har äventyrats, det är en risk även de mest säkra online-administratör kan möta. Snarare, det är Yahoo ‘ s bristande uppmärksamhet på it-säkerhet, så att det inte gick att upptäcka och reagera på brott, göra en mycket dålig situation till en mardröm.
I och med 2014,
hackare har fått tillgång till Yahoo största användaren av databasen, snatteri referenser och personlig information från minst
500 miljoner konton i vad som var den största dataintrång i historien.
Perplexingly, stöld gick oupptäckta tills September 2016, när 200 miljoner enheter av användaruppgifter dykt upp till försäljning på ett darknet webbplats. Yahoo: s underlåtenhet att identifiera en överträdelse av sådana gigantiska omfattning-som vore det något illavarslande anspråk på att vara en “statlig regi” act (en anklagelse förkastats av forskare) — var en mörk förebud om vad som komma skall.
Hacka rapporterade i December förra året verkar bli värre-mycket värre. Att hacka, som tros ha inträffat i augusti 2013, resulterade i
minst 1 miljard konton lidande stöld av personlig information, som namn, telefonnummer och födelsedatum. Kanske ännu mer förödande var hackare ” stöld av dåligt krypterad Yahoo lösenord, liksom tydliga svar på säkerhet-frågor som “Vad är din mors namn som ogift?” eller “Vad var din första bil?” Denna information är avsedd att enkelt tillåta användare att bekräfta sin identitet när du återställer kontouppgifter.
Några förnuftiga och protokollen för säkerhet och enkel, billig kryptering kunde ha förhindrat detta elände. Lägga till förolämpning mot skada, stöld upptäcktes inte förrän regeringens utredare och privata data analytiker att granska de första rapporterade hacka funnit bevis för att en mystiska “tredje part” hade fått tillgång till andra Yahoo data.
Otroligt, dessa stölder — den största och mest skadliga hack i Internet-historia — var kanske inte ens den svagt ljus Yahoo år. Att hedra skulle tillhöra VD mayers beslut, på begäran av en AMERIKANSKA underrättelsetjänsten, att
skanna innehållet i alla Yahoo användarnas e-post för specifika fraser eller bilagor, en massiv warrantless spion program så invasiva att Yahoo: s säkerhetsgrupp, oinformerade av ansträngning, trodde först att det var ett hack.
Det är inte tillräckligt att Yahoo säkerhet hållning är döende — inte bara oförmögen att hindra att successiva blitzes mot miljarder av dess användare, men även för att upptäcka deras förekomst. Ännu värre, i detta exempel, är det faktum Yahoo är fullt ut delaktig som någon hacker i att exponera sina kunders mest känslig personlig kommunikation: Det gjorde så utan tillstånd, helt enkelt på begäran av en statlig myndighet med några teckningsoptioner eller trolig orsak.
Säkerhet Tsunami Varning
Vad är då nedfallet av Yahoo året för leva farligt? Med tanke på den enorma potential för sekundära bedrägerier på andra webbplatser som använder Yahoo-konto referenser, tvingar lösenord nu, flera år efter brottet, är båda helt nödvändiga och bedrövligt otillräcklig.
Efter år av
brottslingar sannolikt trading Yahoo användaren information om darknet marknadsplatser för kontanter, detta försök att rätta till situationen är likvärdig för att ändra vault är kombinationen ett par år efter en safecracker rånade banken. I en it-miljö där Internet-användare ofta återanvänder samma autentiseringsuppgifter över dussintals webbplatser de använder regelbundet, lösenord återanvändning attacker är ett växande hot.
En sådan attack mot Yahoo-användare har prejudikat, och resultaten kan vara skrämmande. Under 2012 inloggningsuppgifter så många som
167 miljoner konton på business nätverkssajten LinkedIn var stulits av hackare, nya igen på darknet-auktion webbplatser i Maj 2016.
Den äventyras information, som, i likhet med Yahoo, som ingår dåligt krypterade lösenord, tros ha varit ansvarig för många stora “lösenord återanvändning” sekundära attacker, inklusive en stor attack
mot cloud hosting-plattform Dropbox och 60 miljoner av sina konton.
Med tanke på den potential för anställer stor förödelse, Yahoo otillräcklig och föråldrad kryptering av lösenord kan det få allvarliga konsekvenser, påverkar även webbplatser som säkert kryptera sina kunders lösenord, genom att inte deras eget fel. Detta är en mardröm som gjorts möjligt genom stöld av återanvända lösenord: att sammanfoga en våg av dataintrång som påverkar hemsida efter hemsida.
Utöver dessa tekniska hot, Yahoo bristande insyn i kampen mot informationsstöld har ytterligare hotade Internet-användare. Det blir tydligt att det under Mayer ledarskap,
Yahoo sänkte vikten av att inrätta en välbehövlig cybersäkerhet åtgärder, av rädsla för att det skulle stöta bort en flyktig användarbas med irriterande nya krav på säkerhet. Men slutresultatet kommer att bli mycket sämre anseende skadas.
En upplevelse som resulterar i att hackare att kompromissa med var och en av dina webbkonton eller stjäla din identitet, är långt värre än den olägenhet av att logga in på ett e-postkonto med hjälp av två-faktor identifiering.
Denna kortsynthet utvidgas till Yahoo pr reaktion: Medan företaget i slutändan skulle uppskattar att en halv miljard konton påverkades i och med 2014 hacka,
verkliga antalet kan vara så hög som 3 miljarder, och medan Yahoo kan göra anspråk på någon av de berörda konton som identifieras och återställa dess oförmåga att upptäcka ännu större brott är mer än nog anledning att tvivla på den ansträngning effektivitet.
Lyckligtvis, detta debacle behöver inte vara helt förgäves, om några enkla lektioner som kan absorberas. Hade Yahoo gjorde blygsamma, vettiga förbättringar i sin säkerhet hållning, hackare kan ha varit avstår från att försöka en sådan ambitiösa heist, eller åtminstone varit frustrerade i sina försök att göra så.
Cyber risk är en ofrånkomlig aspekt av Internet-företag idag, och även i värsta-fall-scenario ” med en överträdelse, rimliga försiktighetsåtgärder och snabba åtgärder kan förhindra omfattande skador.
Till exempel, när “drag-n-drop” webbplats skapare
Weebly drabbats av en hacka påverkar 43 miljoner användare, bolagets redo samarbete med observatörer som upptäckte attacken hjälpte det att snabbt utfärda lösenord, medan dess starka lösenord för kryptering ytterligare förhindras kund från att nås.
Den senaste överträdelsen uppenbarelse kan
spåra ur Verizon planerade $4.83 miljarder förvärv av sökningen jätte, men det skulle knappast vara den största kostnaden av Yahoo ‘ s inkompetens.
Som alltid, de människor som kommer att drabbas är de konsumenter som Yahoo har fått sitt ansvar. De anförtrotts Yahoo med deras personliga information-ett förtroende fd Nr 1 sökmotor har oförsvarligt förrådd.
