Seguridad

Lo que necesitas saber sobre la pérdida masiva de cuentas de LinkedIn

Lo que necesitas saber sobre la pérdida masiva de cuentas de LinkedIn / Seguridad

En 2012, LinkedIn fue hackeada por una entidad rusa desconocida y se filtraron en línea seis millones de credenciales de usuario. Cuatro años después, se supo que el hack fue lejos peor de lo que esperábamos. En un informe publicado por Vice's Motherboard, un hacker llamado Peace ha vendido 117 millones de credenciales de LinkedIn en la web de Dark por alrededor de $ 2,200 en Bitcoin.

Si bien este episodio es un dolor de cabeza continuo para LinkedIn, inevitablemente será peor para los miles de usuarios cuyos datos han sido publicados en línea. Kevin Shabazi me está ayudando a entenderlo; un experto en seguridad líder, y el CEO y fundador de LogMeOnce.

Entendiendo la Fuga de LinkedIn: ¿Qué tan malo es realmente??

Sentándose con Kevin, lo primero que hizo fue enfatizar la enormidad de esta filtración.. “Si la cifra de 117 millones de credenciales filtradas parece ser gigantesca, necesita reagruparse. En el primer trimestre de 2012, LinkedIn tenía un total de 161 millones de miembros. Esto significa que los hackers en ese momento no solo tomaron 117 millones de registros.”

“En esencia, se llevaron un enorme 73% de la base de datos de membresía de LinkedIn..”

Estos números hablan por sí mismos. Si mide los datos únicamente en términos de registros filtrados, se compara con otros hacks de renombre, como la fuga de PlayStation Network en 2011 o la fuga de Ashley Madison del año pasado 3 razones por las que Ashley Hack es un asunto serio 3 razones ¿Por qué el hackeo de Ashley Madison es un asunto serio? Internet parece extasiado sobre el hack de Ashley Madison, con los detalles de millones de adúlteros y posibles adúlteros hackeados y publicados en línea, con artículos en los que se encuentran personas en el volcado de datos. Hilarante, ¿verdad? No tan rapido. Lee mas . Kevin estaba ansioso por enfatizar que este hack es una bestia fundamentalmente diferente, sin embargo. Porque mientras el hack de la PSN era simplemente para obtener información de la tarjeta de crédito, y el hack de Ashley Madison era simplemente para causar vergüenza a la compañía y sus usuarios, el hack de LinkedIn envuelve una red social centrada en los negocios en la desconfianza”. Podría llevar a personas a cuestionar la integridad de sus interacciones en el sitio. Esto, para LinkedIn, podría resultar fatal..

Especialmente cuando los contenidos del volcado de datos plantean serias dudas sobre las políticas de seguridad de la empresa. El volcado inicial incluía credenciales de usuario, pero según Kevin, las credenciales de usuario no estaban cifradas correctamente.

“LinkedIn debería haber aplicado un hash y sal a cada contraseña, lo que implica agregar algunos caracteres aleatorios. Esta variación dinámica agrega un elemento de tiempo a la contraseña, que si se la roban, los usuarios tendrán tiempo suficiente para cambiarla..”

Quería saber por qué los atacantes habían esperado hasta cuatro años antes de filtrarlo a la red oscura. Kevin reconoció que los atacantes habían demostrado mucha paciencia para venderlo, pero eso era probable porque estaban experimentando con él.. “Debería suponer que estaban codificando a su alrededor mientras desarrollaban probabilidades matemáticas para estudiar y comprender las tendencias, el comportamiento y, finalmente, los comportamientos de las contraseñas de los usuarios. Imagine el nivel de precisión si envía 117,000,000 entradas reales para crear una curva y estudiar un fenómeno!”

Kevin también dijo que es probable que las credenciales filtradas se hayan utilizado para comprometer otros servicios, como Facebook y cuentas de correo electrónico..

Comprensiblemente, Kevin es sumamente crítico con la respuesta de LinkedIn a la filtración. Lo describió como “simplemente inadecuado”. Su mayor queja es que la compañía no alertó a sus usuarios sobre la escala de la recámara cuando sucedió. La transparencia, dice, es importante..

También lamenta el hecho de que LinkedIn no tomó ninguna medida práctica para proteger a sus usuarios, cuando ocurrió la filtración.. “Si LinkedIn hubiera tomado medidas correctivas en ese entonces, forzó un cambio de contraseña y luego trabajó con los usuarios para informarles sobre las mejores prácticas de seguridad, entonces eso habría estado bien.”. Kevin dice que si LinkedIn utilizó la filtración como una oportunidad para educar a sus usuarios sobre la necesidad de crear contraseñas seguras. Cómo generar contraseñas seguras que coincidan con su personalidad. Cómo generar contraseñas seguras que coincidan con su personalidad. El extremo receptor de un ciberdelito. Una forma de crear una contraseña memorable podría ser hacerla coincidir con su personalidad. Lea más que no se reciclan y que se renuevan cada noventa días, el volcado de datos tendría menos valor hoy.

¿Qué pueden hacer los usuarios para protegerse a sí mismos??

Kevin no recomienda que los usuarios vayan a la Web oscura. Viaje a la red oculta: una guía para nuevos investigadores. Viaje a la web oculta: una guía para nuevos investigadores. Este manual lo llevará a un recorrido por los muchos niveles de la red profunda. : bases de datos e información disponible en revistas académicas. Finalmente, llegaremos a las puertas de Tor. Lea más para ver si están en el basurero. De hecho, él dice que no hay razón para que un usuario confirme si ha sido afectado en absoluto. Según kevin, todos los usuarios deben tomar medidas decisivas para protegerse.

Vale la pena agregar que la filtración de LinkedIn seguramente encontrará su camino hacia Have I Been Pwned de Troy Hunt, donde los usuarios pueden verificar su estado de forma segura..

¿Entonces, qué debería hacer? En primer lugar, dice, los usuarios deben cerrar sesión en sus cuentas de LinkedIn en todos los dispositivos conectados, y en un dispositivo cambiar su contraseña. Hazlo fuerte. Recomienda que las personas generen sus contraseñas utilizando un generador de contraseñas aleatorias. 5 maneras de generar contraseñas seguras en Linux. 5 maneras de generar contraseñas seguras en Linux. Es crucial usar contraseñas seguras para sus cuentas en línea. Sin una contraseña segura, es fácil para los demás descifrar la tuya. Sin embargo, puede hacer que su computadora elija una para usted. Lee mas .

Es cierto que estas son contraseñas largas y difíciles de manejar, y son difíciles de memorizar para las personas. Esto, dice, no es un problema si usas un administrador de contraseñas. “Hay varios gratuitos y de buena reputación, incluyendo LogMeOnce.”

Enfatiza que elegir el administrador de contraseñas correcto es importante. “Elija un administrador de contraseñas que use 'inyección' para insertar contraseñas en los campos correctos, en lugar de simplemente copiar y pegar desde el portapapeles. Esto te ayuda a evitar ataques de hackers a través de keyloggers.”

Kevin también subraya la importancia de usar una contraseña maestra segura en su administrador de contraseñas.

“Elija una contraseña maestra que tenga más de 12 caracteres. Esta es la clave de tu reino. Use una frase para recordar como “$ _I Love BaseBall $”. Esto toma cerca de 5 Septillion años para ser agrietado”

Las personas también deben adherirse a las mejores prácticas de seguridad. Esto incluye el uso de autenticación de dos factores. Bloquear estos servicios ahora con autenticación de dos factores. Bloquear estos servicios ahora con autenticación de dos factores. La autenticación de dos factores es la manera inteligente de proteger sus cuentas en línea. Echemos un vistazo a algunos de los servicios que puede bloquear con mayor seguridad. Lee mas . “La autenticación de dos factores (2FA) es un método de seguridad que requiere que el usuario proporcione dos capas o piezas de identificación. Esto significa que protegerá sus credenciales con dos capas de defensa: algo que 'sabe' (una contraseña) y algo que 'tiene' (un token de una sola vez)”.

Finalmente, Kevin recomienda que los usuarios de LinkedIn notifiquen a todos los miembros de su red sobre el hack, para que ellos también puedan tomar medidas de protección..

Un dolor de cabeza en curso

La filtración de más de cien millones de registros de la base de datos de LinkedIn representa un problema continuo para una compañía cuya reputación se ha visto afectada por otros escándalos de seguridad de alto perfil. Lo que pasa a continuación es lo que cualquiera puede adivinar..

Si usamos los hacks de PSN y Ashley Madison como nuestros mapas de ruta, podemos esperar que los cibercriminales no relacionados con el hack original se aprovechen de los datos filtrados y los utilicen para extorsionar a los usuarios afectados. También podemos esperar que LinkedIn se arrastre para disculparse con sus usuarios y les ofrezca algo, tal vez en efectivo, o más probablemente un crédito de cuenta premium, como una muestra de arrepentimiento. De cualquier manera, los usuarios deben estar preparados para lo peor y tomar medidas proactivas. Protéjase con un chequeo anual de seguridad y privacidad. Protéjase con un chequeo anual de seguridad y privacidad. Estamos casi dos meses en el nuevo año, pero aún hay tiempo para Hacer una resolución positiva. Olvídese de tomar menos cafeína; estamos hablando de tomar medidas para salvaguardar la seguridad y la privacidad en línea. Leer más para protegerse.

Crédito de la imagen: Sarah Joy a través de Flickr

Explore más sobre: ​​Hacking, LinkedIn, Seguridad en línea, Contraseña.