Hvis der er en lære at drage fra søgning på Internettet gigant Yahoo er helvedes forløbne år, det er et grumt illustrativt: Aldrig påtage sig en cybersecurity katastrofe kan ikke blive værre.
I September sidste år, Internet portal oplyses, at det havde lidt
de mest skadelige og vidtrækkende data, brud i historien — blot for derefter at annoncere i December opdagelsen af en
for det andet, tidligere, og endnu større hack.
Siden opdagelsen, salg af virksomheden til Verizon har været sat i fare, da Yahoo-som for nylig annoncerede sit navn ville være at ændre til “Altaba” — begyndte en sonde ind i det hack, der forventes at tage flere uger. Kan vi ikke kender det fulde omfang af disse hacks”) effekter for år, ja, at det tog år for overtrædelser til selv at blive opdaget.
Hvad er kendt er, at disse kvaler var lang tid undervejs. Yahoo hacks var ikke Guds handlinger, der falder fra himlen, og skabe en uheldig offer; de var det direkte resultat af foreningens løbende forsømmelse af informationssikkerhed som en hovedprioritet for at drive forretning.
Systemisk Problem
Tragedien i Yahoo ‘ s problemer er ikke blot, at dens systemer er blevet kompromitteret, at der er en risiko for, at selv de mest sikre online servicevirksomheder kan stå over for. Det er snarere Yahoo ‘ s manglende fokus på cybersikkerhed, sådan at det ikke var i stand til at registrere og reagere på brud, hvilket gør en meget dårlig situation til en mareridtsagtig.
I 2014,
hackere har fået adgang til Yahoo ‘ s primære bruger database, tyveri legitimationsoplysninger og personlige oplysninger fra mindst
500 millioner konti i, hvad der var den største data, brud i historien.
Perplexingly, tyveri gik uopdagede til September 2016, når 200 mio sæt brugeroplysninger dukket op til salg på en darknet hjemmeside. Yahoo ‘ s manglende evne til at identificere brud på disse gigantiske omfang-en, der ville noget ildevarslende hævder at være en “state-sponsored” act (en anklage, forkastet af forskere) — var en mørk tegn på ting til at komme.
Hack rapport i December sidste år ser ud til at være værre-meget værre. At hacke, som menes at have fundet sted i August 2013, resulterede i
mindst 1 mia konti, der lider tyveri af personlige oplysninger som navne, telefonnumre og dato for fødsel. Måske endda mere skadeligt, var de hackere’ tyveri af dårligt krypteret Yahoo adgangskoder, samt ukrypteret svar til sikkerhed forespørgsler som “Hvad er din mors pigenavn?” eller “Hvad var din første bil?” Denne information er beregnet til nemt at give brugerne mulighed for at bekræfte deres identitet, når nulstilling konto detaljer.
Nogle fornuftige sikkerhedsprotokoller og enkel, billig kryptering kunne have forhindret denne katastrofe. At føje spot til skade, tyveri ikke blev opdaget før regeringen efterforskere og analytikere at undersøge den første rapporterede hack fundet beviser for, at en mystisk “tredje parti”, der havde fået adgang til andre Yahoo-data.
Utroligt, at disse tyverier — de største og mest skadelige hacks i internettets historie, — var måske ikke engang den dårlige lysforhold af Yahoo ‘ s år. At ære ville hører til CEO Mayer beslutning om, på foranledning af en AMERIKANSKE efterretningstjeneste, at
scanne indholdet af alle Yahoo brugernes e-mails til specifikke sætninger eller vedhæftede filer, en massiv uhjemlede spion-program, så indgribende, at Yahoo ‘ s security team, uvidende om den indsats, i første omgang troede, det var et hack.
Det er ikke nok, at Yahoo ‘ s sikkerhed kropsholdning er døende-ikke kun i stand til at forhindre efterfølgende blitzes mod milliarder af sine brugere, men selv at registrere deres forekomst. Hvad værre er, i dette tilfælde, er det faktum, Yahoo er fuldt ud medskyldige, som enhver hacker i at udsætte sine kunder ” mest følsomme personlige kommunikation: Det gjorde så uden tilladelse, blot ved efterspørgsel af en offentlig myndighed ikke er forsynet med warrants eller sandsynlige årsag.
Sikkerhed Tsunami Advarsel
Hvad er det så, vil være nedfald af Yahoo ‘ s år for at leve livet farligt? I betragtning af det enorme potentiale for sekundær svig på andre websteder ved hjælp af Yahoo-konto legitimationsoplysninger, tvinger adgangskode nulstilles nu, mange år efter forbrydelsen, er begge helt nødvendige og aldeles utilstrækkelige.
Efter flere år med
kriminelle sandsynligt handel Yahoo bruger oplysninger om darknet markedspladser for kontant, at dette forsøg på at rette op på den situation svarer til at ændre vault er en kombination af et par år efter en safecracker røvet banken. I et it-miljø, hvor Internet-brugere almindeligvis ikke kan genbruge de samme oplysninger på tværs af snesevis af websteder, de bruger jævnligt, password genbrug-angreb er en voksende trussel.
Sådan et angreb mod Yahoo-brugere har præcedens, og resultaterne kan være skræmmende. I 2012, login-oplysninger, så mange, som
167 millioner konti på business networking site LinkedIn blev stjålet af hackere, nye igen på darknet auktion websteder i Maj 2016.
Kompromitteret oplysninger, hvilket, som med Yahoo, som er inkluderet dårligt krypterede adgangskoder, menes at have været ansvarlig for talrige store “password genbrug” sekundære angreb, herunder et større angreb
mod cloud hosting platform Dropbox og 60 millioner konti.
I betragtning af den potentielle skaber kaos, Yahoo ‘ s utilstrækkelige og forældede password kryptering kan have alvorlige konsekvenser, der påvirker selv websteder, der sikkert kryptere deres kunders adgangskoder, skal du ikke selv er skyld i deres egen. Dette er den mareridt er gjort mulig ved tyveri af genbruges adgangskoder: en sammenkæde bølge af brud på datasikkerheden, der påvirker hjemmeside efter hjemmeside.
Ud over disse tekniske trusler, Yahoo ‘ s manglende gennemsigtighed i bekæmpelse af tyveri af information har yderligere truede Internet-brugere. Det er klart, at i henhold til Mayer ‘ s ledelse,
Yahoo nedgraderet betydningen af at indføre meget brug for cybersikkerhed foranstaltninger, der frygtede, at det ville fjerne en vægelsindet brugerbase med irriterende nye sikkerhedskrav. Men det endelige resultat vil være langt værre omdømme skade.
En brugeroplevelse, der resulterer i, at hackere at gå på kompromis hver eneste af dine Web-konti, eller stjæle din identitet, er langt værre end besværet med at logge ind på en e-mail-konto ved hjælp af to-faktor identifikation.
Denne kortsynethed udvidet til Yahoo ‘ s public relations reaktion: Mens virksomheden ville i sidste ende vurderer, at en halv milliard konti blev ramt i 2014 hack,
sande antal kan være så høj som 3 milliarder dollars; og mens Yahoo kan gøre krav på berørte konti er ved at blive identificeret og nulstille, dens manglende evne til at registrere selv større brud er mere end nok grund til at betvivle, at den indsats effekt.
Heldigvis, denne misere skal ikke være helt forgæves, hvis nogle enkle lektioner kan blive absorberet. Havde Yahoo gjort beskedne, fornuftige forbedringer i landets sikkerhed kropsholdning, som hackeren eventuelt kan have været afskrækket fra at forsøge en sådan ambitiøse heist, eller i det mindste været frustreret over, i deres forsøg på at gøre det.
Cyber risk er et uundgåeligt aspekt af Internet forretning i dag, og selv i de værst tænkelige tilfælde af en overtrædelse, rimelige forholdsregler og hurtig indsats kan hindre omfattende skader.
For eksempel, når “drag-n’drop” hjemmeside skaberen
Weebly lidt et hack, der påvirker 43 millioner af dets brugere, virksomheden er klar samarbejde med observatører, der opdagede angrebet hjalp det hurtigt spørgsmål adgangskode nulstilles, mens dens stærk kryptering af adgangskoder, der yderligere forhindrede kunderne i at blive åbnet.
Den seneste overtrædelse åbenbaring kan
afspore Verizon ‘s planlagte $4.83 millioner erhvervelse af søgning gigant, men det ville næppe være den største pris af Yahoo’ s inkompetence.
Som altid, hvem der lider mest, er de forbrugere, som Yahoo skylder sit ansvar. De overdraget Yahoo med deres personlige oplysninger-en tillid til den tidligere No. 1 søgemaskine er utilgiveligt forrådt.
