JPMorgan ihlali tarihteki bilinen en kötü uzlaşma olarak adlandırılıyor. ZDNet, hasarın muhtemelen önceden düşünülenden çok daha kötü olduğunu öğrendi. GÜNCELLENMİŞ.
JPMorgan Chase & Co Yaklaşık 76 milyon haneyi ve 7 milyon küçük işletmeyi etkileyen ve yeni bilgilerle daha da kötüleşen ihlal, tarihte bilinen en kötü risk olarak adlandırılıyor.
Adli tıp firması, Chase'in sınırlı müşteri bilgilerinin elde edildiğine dair güvencelerine meydan okuyor Gece Aslanı Güvenliği ZDNet'e, saldırganların veritabanlarındaki bilgiler nedeniyle önemli sayıda müşterinin şifrelerinin ele geçirilmesi riskiyle karşı karşıya olduğunu söyledi.
Oku bunu
Çevrimiçi ortamda güvende kalmak ve kimlik hırsızlığını önlemek için 15 ipucu
Kendinizi ve dijital kimliğinizi bilgisayar korsanlarından korumak için bazı basit ipuçları, püf noktaları ve en iyi uygulama yöntemleri nelerdir?
Şimdi OkuNight Lion'un kurucusu Vinny Troia ZDNet'e şunları söyledi: "Eğer e-posta adresiniz varsa ve bu e-posta adreslerinin JPMorgan'ın hangi hizmeti olduğunu biliyorsanız (vadesiz hesap, ipotek, kredi kartı vb.) ile ilişkili olarak çalınan beş milyar veri tabanınızda basit bir arama yapabilirsiniz. kullanıcı adı/şifre kombinasyonları."
Güncelleme 3 Ekim, 17:15 PST: JPMorgan Chase sözcüsü Trish Wexler'e göre, Bay Troia'nın örneğinin çok basit olduğunu söylüyorlar. Sözcü, Chase'in bir e-posta adresinin kullanıcı adı olarak kullanılmasına izin vermediğini söyleyerek Troia'yı yalanladı. Ayrıca, bir müşterinin yeni bir cihazdan giriş yapmaya çalışması durumunda sistemin başka bir düzeyde kimlik doğrulamaya ihtiyaç duyduğunu da belirtti.
Ancak JPMorgan ZDNet'e, tüketicilerin riski daha da azaltmak için bankacılıkta farklı bir şifre kullanmanın iyi bir fikir olduğunu düşünmeleri gerektiğini söyledi. JPMorgan Chase'in şu anda müşterilerine bunu yapmalarına gerek olmadığını söylediği gerçeği ışığında bu durum ilginç bir mesaj gönderiyor. şifrelerini değiştirin - bu, herhangi bir veride tüketicinin korunmasına yönelik geleneksel bilgeliğin karşısında uçan bir şey çiğneme.
Troia, müşterilerin e-posta adreslerini kullanıcı adı olarak kullanmadıkları sürece bunun sorun olmadığını söyledi. Sahip olanlar tehlike bölgesinde olacaklar çünkü bu hesapları çapraz kontrol etmek ve daha fazla istismar edilmek üzere geri çekmek için bir komut dosyası yazmak zor değil.
Açıkçası, Chase'in güvenceleri tüm müşteriler için değil, bazıları içindir. ABD'nin en büyük bankalarından biri olan şirket, hesap numaralarının, şifrelerin, kullanıcı kimliklerinin, Sosyal Güvenlik numaralarının veya doğum tarihlerinin ifşa edildiğine dair hiçbir kanıt olmadığını söyledi; Ayrıca JPMorgan "bu olayla ilgili olağandışı müşteri sahtekarlığı" görmedi.
Troia, müşterilerin yalnızca JPMorgan Chase'in dediği kadar güvende olduklarını söyledi; eğer müşteriler Chase hizmetlerinde şifrelerini yeniden kullanmamışsa veya iki faktörlü yetkilendirme açıksa.
Ancak çoğu kişi şifrelerini yeniden kullanıyor ve çok azı iki faktörü etkinleştiriyor; çünkü her iki ekstra adım da müşterilerin hizmeti kullanmasını daha az kolaylaştırıyor.
Troia, ZDNet'e şunları söyledi: "İnsanlar şifreleri yeniden kullanmama veya 2FA (Chase'in sunduğu) kurulumu konusunda daha dikkatli olsaydı, bu pek de sorun olmazdı." Not etti,
Ne yazık ki gerçek şu ki, bu veritabanında şifreleri olan ve aynı şifreyi takip hesaplarına erişmek için kullanan birkaç kişiden daha fazlası olacak.
Ayrıca Troia, ZDNet'e şunları söyledi: "Çalınan şifrelerin veri tabanı da yaygın olarak biliniyor. O yüzden bir hırsızın bakış açısıyla düşünün." Şöyle devam etti:
Herkesin şifresini çalarsanız, şirket herkesi şifreyi değiştirmeye zorlayacak ve şifre tamamen değersiz hale gelecektir.
Bunun yerine diğer bilgileri alırsınız; Bunlardan en önemli ikisi e-posta adresi ve ilgili hizmettir. Artık hırsızlar e-posta adresini 1,2 milyar e-posta/şifre veri tabanıyla eşleştirebilirler ve birkaç eşleşmeden fazlası elde edilecektir.
Ve bu insanların önemli bir kısmı geri dönüştürülmüş şifrelere sahip olacak çünkü insanların yaptığı da tam olarak bu. Yani 76 milyon JPMorgan hesabının çalınması aslında şifreler olmadan çok daha değerli.
Guardian'a göre, "Saldırı Temmuz ayında fark edilene kadar bir aydır devam ediyordu." Ne zaman Ağustos ayında açıklandıBir milyon hesabın ele geçirildiği tahmin ediliyordu.
Özel özellik
İş liderleri neden güvenlik liderleri olmalıdır?
Neden birçok kurul BT güvenliğini öncelikli olarak güvenlik teknisyenlerine bırakıyor ve neden teknoloji uzmanları kurullarını paydaş bilgilerinin korunmasına az miktarda para harcamaya ikna edemiyor? BT güvenliği yönetişimi açığının nasıl kapatılacağı konusunda rehberlik sunuyoruz.
Şimdi OkuSEC dosyası ortaya çıktı Perşembe Aslında JP Morgan Chase'in bilgisayar sistemleri hacklendiğinde 83 milyon hesabın kişisel bilgileri açığa çıktı. Chase, ifşa edilen veritabanının müşteri adları, adresleri, telefon numaraları ve e-posta adreslerinden oluştuğunu söylüyor.
Giriş noktasının şirket tarafından kullanılan, güvenliği ihlal edilmiş bir uygulama aracılığıyla olduğu yaygın olarak bildiriliyor ancak ayrıntılar makul bir şekilde rapor edilmiyor, bu nedenle ihlalle ilgili gerçeklerin gerçekte ne olduğu henüz bilinmiyor. öyle.
Reuters raporlar, "Etkilenen kişiler çoğunlukla hesap sahipleridir ancak eski hesap sahiplerini ve diğerlerini de içerebilir Bir bankaya göre iletişim bilgilerini bankanın çevrimiçi ve mobil sitelerine giren kişiler sözcüsü."
Tuhaf bir şekilde, JPMorgan web sitesinde şifrelerini veya hesap bilgilerini değiştirmeleri gerektiğini düşünmediğini söylüyor.
Şirket sözcüsü Patricia Wexler, Reuters'e "bankanın kendi müşterilerine kredi izleme hizmeti sunmadığını" söyledi. hiçbir finansal bilgi, hesap verisi veya kişisel olarak tanımlanabilir bilgi bulunmadığından müşteriler sınırlı."
İhlal haberi yayıldıkça güvenlik danışmanları JPMorgan ile aynı fikirde değil gibi görünüyor.
ZDNet yorum almak için JPMorgan Chase'e ulaştı ve bu makaleyi buna göre güncelleyecek. Fotoğraf Wikimedia Commons aracılığıyla altında Genel yaratıcıİlişkilendirme 2.0 Genel lisans.