Zappos.com, bilgisayar korsanlarının sunucularına saldırmasının ardından 24 milyondan fazla kullanıcının şifresini sıfırlıyor. Olay, şifrelerin özellikle siteler arasında kullanıldığında ne kadar zayıf olduğunu bir kez daha ortaya çıkardı. Çevrimiçi olarak depolanan diğer kişisel bilgilerin bilgisayar korsanları açısından uzun vadeli değeri, kredi kartı numaralarından daha yüksektir.
Başka bir ihlal, internette oluşturulan ve saklanan kişisel verilerin çoğu zaman daha fazla ihlal edildiğinin bir başka hatırlatıcısı. kredi kartı numaralarından daha değerlidir ve ele geçirildiğinde çok daha zararlı sonuçlar doğurabilir.
Bu sefer Sony, Gawker, rootkit.com ve hesap şifrelerini ve diğer verilerini bilgisayar korsanlarına kaptıran diğer pek çok firmanın arasına Zappos.com da katıldı.
Zappos'ta r vareset 24 milyondan fazla şifre Pazar günü sistemlerine yapılan bir saldırı sırasında açığa çıktı ve kullanıcılarını yeni şifreler oluşturmaya sevk etti.
bir e-posta, Zappos'un CEO'su Tony Hsieh ayrıca kullanıcılara, aynı veya benzer kimlik bilgilerini kullandıkları diğer web sitelerindeki şifrelerini değiştirmelerini tavsiye etti. Ve kullanıcılara Zappos.com'un "sizden e-posta yoluyla asla kişisel bilgilerinizi veya hesap bilgilerinizi istemeyeceğini" hatırlatarak olası kimlik avı dolandırıcılığına karşı uyarıda bulundu.
Ancak kullanıcıların maruz kaldığı tek durum parolalar ve kimlik avı değildir. Uzmanlar, Zappos saldırısında ele geçirilen diğer kişisel verilerin, son kullanıcılara yönelik kişisel saldırılara yönelik zengin olasılıklar sunmak üzere birleştirilebileceğini söylüyor.
Hsieh e-postasında, ele geçirilen kullanıcı verilerinin potansiyel olarak isimler, e-posta adresleri, fatura ve teslimat adresleri, telefon bilgilerini içerdiğini söyledi. numaraları ve kredi kartı numaralarının son dört hanesi ile kriptografik olarak karıştırılmış şifreler, ancak gerçek şifreler değil şifreler.
"En sıkı [şifre] şifrelemesi dışında tüm şifrelemeyi kıracak bir elektronik veri setiniz varsa, bu oldukça kolaydır" diyor Fred CateIndiana Üniversitesi Uygulamalı Siber Güvenlik Araştırma Merkezi direktörü. Zappos Halkla İlişkiler sözcüsü, şirketin kullandığı şifreleme seviyeleri hakkında bilgi veremeyeceğini söyledi.
Cate, "Yani birdenbire isimleriniz, son dört rakamınız ve şifreleriniz olsaydı, gerçek bir hazineye sahip olurdunuz" dedi. "O halde en mantıklı saldırı kimlik avı değil, kullanıcının zaten iş yaptığı hesaplara saldırmak."
Cate, bilgisayar korsanlarının "bir kişinin başka bir kişinin kimliğine bürünmeye başlaması için yeterli veriye sahip olacağını" söyledi. Veya bir kişinin meşru bir müşteriyle iletişim kurmaya çalışan bir işletmeyi taklit etmesi."
Kredi kartınızın son dört rakamını, adınızı ve adresinizi bilen birisinin ihlalinden altı ay sonra bir hesapla ilgili olarak sizinle iletişime geçildiğini hayal edin.
Gizlilik, güvenlik ve diğer bilgi hukuku konularında uzmanlaşan Cate, "Bundan hemen şüphelenmeyi gerçekten zor buluyorum" dedi. "Bunların hepsi, insanlara yasal bir kişinin kendileriyle iletişime geçmeye çalıştığını bilmelerini öğrettiğimiz göstergelerdir."
Cate, bu büyük ihlallerin şu ana kadar dolandırıcılık dalgalarıyla sonuçlanmadığını söyleyerek yorumlarını yumuşattı. "İlk şey paniğe kapılmayın" dedi.
Hsieh e-postasında paniği yumuşatmaya çalıştı. "Sanırım kurtarıcı tek şey, müşterilerimizin kritik kredi kartı ve diğer ödeme verilerini saklayan veritabanının etkilenmemiş veya bu veritabanına erişilmemiş olmasıdır."
Bu, sahte kart kullanımını karşılamak için 50 dolarlık bir ücrete katlanabilecek bazı kişiler için bir rahatlama olsa da, Cate'in gündeme getirdiği ve Hsieh'nin e-postasında yalnızca ima ettiği daha büyük sorunu göz ardı ediyor.
Kredi kartı endüstrisinin yıllardır çalınan hesaplarla başa çıkma politikaları var. Ancak aynı kurumsal kontroller e-posta adresleri, zayıf şifreler ve şifrelerin yeniden kullanımı için mevcut değildir.
Cate, "Hayatlarımızın tamamen veriler tarafından yönlendirildiği bir dünyaya geçerken, bu verilerin henüz kontrol altında olmadığı bir dünyaya geçerken, bu sürekli bir hatırlatmadır" diyor. "Bu dikkatli olmalı. Bu sefer bir ayakkabı satıcısıydı, en kötüsü mali dolandırıcılık olabilir. Ancak çalışmaya veya uçmaya uygunluğunuzu veriler kontrol ettiğinde ne olur?"
Cate, kendisinin çok büyük bir kullanıcı olduğunu ve teknolojiye inandığını söylüyor, "ancak günün sonunda güvenlik uygulaması açısından hazır olmadığımız bir yola doğru gidiyoruz."
İstatistikler işlerin ne kadar ileri gitmesi gerektiğini gösteriyor. tarafından Kasım 2011'de yapılan bir araştırma Splash verileri Geçen yıl (ve 1990'lara kadar uzanan daha önceki birçok yılda) en popüler iki parolanın "password" ve "123456" olduğu ortaya çıktı.
Geçen yılın sonlarında araştırma Joseph Bonneau, doktora. Cambridge Üniversitesi Bilgisayar Laboratuvarı Güvenlik Grubu öğrencisi, müşterileri arasında şunları buldu: Şifreleri çalınan ve ifşa edilen Gawker ve rootkit.com sitelerinin %76'sı her ikisinde de aynı şifreyi kullandı Siteler. Gawker ihlali 1,3 milyon şifreyi içeriyordu; rootkit.com'da ise 81.000 şifre vardı.