Hvis det er en lærdom som trekkes fra søk på Internett gigantiske Yahoo er jævli siste året, det er et dystert illustrerende: Aldri anta en cybersecurity katastrofe kan ikke bli verre.
September i fjor, Internett-portal avslørte at det hadde lidd
de mest skadelige og omfattende datainnbrudd i historien-bare for å så annonsere i desember oppdagelsen av en
andre, tidligere, og enda større hack.
Siden oppdagelsen, salg av selskapet til Verizon har blitt satt i fare, som Yahoo, som nylig kunngjorde at navnet skulle endres til “Altaba” — begynte en sonde inn hack som er ventet å ta flere uker. Vi kan ikke vite det fulle omfanget av disse hacks’ effekter for år, ja, det tok år for brudd å selv bli oppdaget.
Det som er kjent er at disse slitet var en lang tid kommer. Yahoo hacks ikke var handlinger av Gud, som faller fra himmelen og slående et uheldig offer; de var et direkte resultat av selskapets kontinuerlige forsømmelse av informasjonssikkerhet som en viktig prioritet for å gjøre forretninger.
Systemisk Problem
Tragedien Yahoo vanskeligheter er ikke bare at sine systemer ble kompromittert, det er en risiko for selv den mest sikre online servicers kan møte. Det er heller Yahoo ‘ s mangel på oppmerksomhet til cybersecurity, slik at det var i stand til å oppdage og reagere på brudd, noe som gjør en veldig dårlig situasjon inn i en marerittaktig.
I 2014
hackere har fått tilgang til Yahoo ‘ s viktigste brukeren database, pilfering legitimasjon og personlig informasjon fra minst
500 millioner kontoer i hva som var den største av data brudd i historien.
Perplexingly, tyveri gikk uoppdagede frem til September 2016, når 200 millioner sett med brukerens legitimasjon dukket opp til salgs på en darknet nettstedet. Yahoo manglende evne til å identifisere brudd på slike enorme omfanget-en som det ville noe illevarslende hevder å være en “state-sponset” act (en anklage avvist av forskerne) — var en mørk varsel om det som skulle komme.
Hack rapportert i desember i fjor ser ut til å bli verre-mye verre. At hack, som antas å ha oppstått i August 2013, resulterte i
minst 1 milliard kontoer lidelse tyveri av personlige opplysninger, som navn, telefonnummer og fødselsdato. Kanskje enda mer skadelig ble hackere’ tyveri av dårlig kryptert Yahoo passord, så vel som ikke-svar til sikkerhet spørsmål som “Hva er din mors pikenavn?” eller “Hva var din første bil?” Denne informasjonen er ment å enkelt tillate brukere å bekrefte sin identitet når du tilbakestiller kontodetaljer.
Noen fornuftige sikkerhetsprotokoller og enkel, rimelig kryptering kunne ha forhindret denne katastrofe. Å legge fornærmelse til skade, tyveri ble ikke oppdaget før regjeringen etterforskere og private data analytikere å undersøke først rapportert hack funnet bevis for at en mystisk “tredjepart” hadde fått tilgang til andre Yahoo data.
Utrolig nok er disse tyverier — den største og mest ødeleggende hacks i Internet historie — var kanskje ikke selv med lite lys av yahoos år. Som ære ville tilhøre KONSERNSJEF Mayer avgjørelse, på oppdrag av en AMERIKANSK intelligence agency), for å
skanne innholdet av alle Yahoo brukernes e-postmeldinger etter bestemte uttrykk eller vedlegg, en massiv warrantless spion program som er så krenkende at Yahoo ‘ s security team, uinformert av innsatsen, trodde først det var en hack.
Det er ikke nok at Yahoo sikkerhet holdning er døende-ikke bare i stand til å hindre påfølgende blitzes mot milliarder av sine brukere, men også for å oppdage deres forekomst. Verre, i dette tilfellet, er det faktum Yahoo er som fullt ut deltar som noen hacker i eksponere sine kunder’ mest sensitive personlige kommunikasjon: Det gjorde det uten tillatelse, rett og slett på etterspørselen av en offentlig etat som bærer ingen tegningsretter eller sannsynlig årsak.
Sikkerhet Tsunami Warning
Hva så, vil være nedfall av yahoos år bor farlig? Gitt den enorme potensialet for videregående svindel på andre nettsteder ved hjelp av Yahoo-kontoen, og tvinger passordet tilbakestilles nå, flere år etter forbrytelsen, er både helt nødvendig og woefully utilstrekkelig.
Etter år med
kriminelle sannsynlig trading Yahoo brukeren informasjon om darknet markedsplasser for penger, dette er et forsøk på å avhjelpe situasjonen er tilsvarende for å endre hvelvet kombinasjon av et par år etter en safecracker ranet banken. I et it-miljø hvor Internett-brukere ofte resirkulere de samme legitimasjonsbeskrivelsene over dusinvis av nettsteder de bruker jevnlig, passord gjenbruk angrep er en økende trussel.
Et slikt angrep mot Yahoo brukere har presedens, og resultatene kan være skremmende. I 2012, påloggingsinformasjon av så mange som
167 millioner kontoer på forretningsmessige nettverk nettstedet LinkedIn ble stjålet av hackere, dukker opp igjen på darknet auksjon nettsteder i Mai 2016.
Den kompromitterte opplysninger, som, i likhet med Yahoo, inkludert dårlig krypterte passord, antas å ha vært ansvarlig for en rekke store “passord gjenbruk” sekundære angrep, inkludert ett stort angrep
mot sky hosting plattform Dropbox og 60 millioner kroner på sine kontoer.
På grunn av mulighetene for å herje, Yahoo er mangelfull og utdatert passord kryptering kan ha alvorlige konsekvenser, som påvirker selv nettsteder som sikkert kryptere sine kunder’ passord, gjennom ingen skyld av sine egne. Dette er marerittet gjort mulig gjennom tyveri av nytt passord: slå sammen bølge av data brudd som påvirker nettsted etter nettsted.
Utover disse tekniske trusler, Yahoo ‘ s mangel på åpenhet i bekjempelse av informasjon tyveri har videre truede Internett-brukere. Det blir klart at under Mayer ‘ s ledelse,
Yahoo nedgradert betydningen av instituting sårt tiltrengte cybersecurity tiltak, av frykt for at det ville trekke en ustadig brukeren base med irriterende nye krav til sikkerhet. Men sluttresultatet vil bli langt verre omdømmet til skade.
En brukeropplevelse som resulterer i hackere at det går på bekostning hver og en av dine Web kontoer, eller for å stjele identiteten din, er langt verre enn ulempene ved å logge deg en e-post-kontoen ved hjelp av to-faktor identifikasjon.
Dette nærsynthet utvidet til Yahoo ‘ s public relations reaksjon: Mens selskapet vil til slutt regner med at en halv milliard kontoer ble berørt i 2014 hack,
sant tallet kan være så høyt som 3 milliarder kroner, og mens Yahoo kan kreve alle berørte kontoene blir identifisert og reset, sin manglende evne til å oppdage enda større brudd er mer enn nok grunn til å tvile på den innsats som er virkning.
Heldigvis, denne fiaskoen trenger ikke være helt forgjeves, hvis noen enkle leksjonene kan absorberes. Hadde Yahoo beskjeden, fornuftig forbedringer i sikkerheten holdning, hackere kan ha blitt frarådet fra å forsøke et slikt ambisiøst heist, eller i det minste vært frustrert i sine forsøk på å gjøre det.
Cyber risiko er et uunngåelig aspekt av Internett-bedrift i dag, og selv i den verste fall scenario av et brudd, rimelige forholdsregler og raske tiltak som kan forhindre store skader.
For eksempel, når du “dra-n’drop” website creator
Weebly lidd et hack som påvirker 43 millioner av sine brukere, og selskapet er klar samarbeid med observatører som oppdaget angrepet hjalp det å raskt problemet passordet tilbakestilles, mens dens sterke passord kryptering videre forhindret kunden nettsteder fra å bli åpnet.
Den nyeste brudd åpenbaring kan
avspore Verizon planlagt $4.83 milliarder kroner kjøp av søk gigantisk, men det ville neppe være den største kostnaden av Yahoo er inkompetanse.
Som alltid, folk som lider mest er de forbrukerne som Yahoo skylder sitt ansvar. De er betrodd Yahoo med deres personlige informasjon-en tillit til den tidligere Nr 1 søkemotor har inexcusably forrådt.
