University of Michigan bebrejder adgangskodelækager for brud på tredjepartsdata

På fredag blev studerende ved University of Michigan (UM) advaret om en liste over loginoplysninger, der flød rundt. Filen blev frit distribueret, og den indeholdt faktisk titusinder af par @umich.edu e-mail-adresser og almindelige adgangskoder. Nogle af de studerende kiggede på listen, og de var bange for at finde ud af, at deres login-data var gyldige. Forudsigeligt lagde de oprindeligt skylden på UM's dørtrin, men det viste sig senere, at institutionen ikke var ansvarlig for lækagen på nogen måde. Faktisk viste det sig, at det var de studerende, der kunne have gjort meget mere for at beskytte sig selv.

Logindata blev lækket under ikke-relaterede overtrædelser

Kort efter, at listerne blev offentlige, udstedte University of Michigan en officiel rådgivning, der forklarede, at de lækkede e-mail-adresser og adgangskoder stammer fra tredjeparts dataovertrædelser. Universitetet forsikrede sine studerende om, at dets systemer ikke er blevet kompromitteret, og meddelte, at det vil nulstille adgangskoder, hvis det ser en reel fare for uautoriseret adgang.

Efter at have ryddet op i hvad der var sket nøjagtigt, gav rådgivende studerende nogle tip til, hvordan de kan øge deres samlede online sikkerhed. Det må siges, at hvis studerende havde overholdt disse tip, før listen over adgangskoder blev offentliggjort, ville rådgivningen have været helt unødvendig.

Hvordan UMs studerende sætter sig i fare

Listen over brugernavne og adgangskoder sætter UM's studerende en meget reel risiko for legitimationsstopningsangreb. For dem af jer, der ikke kender, i et legitimationsudstoppningsangreb, tager hackere en stor liste med brugernavne og adgangskoder, der er stjålet fra en tjeneste og prøver dem mod flere andre. De håber, at mange mennesker bruger de samme legitimationsoplysninger på mange forskellige websteder, og det faktum, at legitimationsopfyldning anses for at være den bedste måde at gå på kompromis med et stort antal konti med mindst mulig indsats, viser, at deres spil normalt betaler sig.

Det er almindelig viden, at den eneste måde at stoppe legitimationsudstoppningsangreb er at stoppe genbrug af adgangskode, men det er klart, at dette er lettere sagt end gjort. Dette er grunden til, at der findes tofaktorautentisering.

University of Michigan har tænkt på sine studerendes sikkerhed, og det har implementeret et system, der kræver, at brugeren skal besvare et opkald, indtaste en kode eller trykke på en push-meddelelse for at kunne logge ind. Desværre er det ikke aktiveret som standard, og det er vanskeligt at sige, hvor mange af de berørte studerende, der bruger det.

Vi bør sandsynligvis også berøre spørgsmålet om, hvor dataene kommer fra også. I sin rådgivende omtale nævnte University of Michigan tre online-tjenesteudbydere, der er blevet brudt i fortiden og kunne have fungeret som kilden til de lækkede e-mail-adresser og adgangskoder: Chegg, LinkedIn og Zynga. Vi skal påpege, at ingen officielt har bekræftet, hvor de stjålne data stammer fra, men vi tager med disse tre udbydere for at illustrere pointen, hvor vigtigt det er at tænke på, hvilken e-mail-adresse du bruger, når du registrerer dig en online konto.

Chegg tilbyder tjenester inden for uddannelsesområdet, og du kan se, hvordan en studerende kan bruge deres University of Michigan e-mail-adresse til at registrere sig for en Chegg-konto. LinkedIn er verdens mest populære professionelle sociale netværk, og du kan muligvis også retfærdiggøre at knytte en profil der til en @umich.edu-adresse.

Zynga er på den anden side en udvikler af onlinespil. Det beder dig om at registrere dig, så du kan dyrke virtuelle grøntsager eller løse online krydsord. Brug af en universitets e-mail-adresse til at oprette denne type konto virker bare ikke som den rigtige ting at gøre, og som du kan se, kan det også sætte din online sikkerhed i fare.

Behovet for at jonglere med så mange onlinekonti har ført til, at nogle mennesker tror, at vi helt har mistet kontrollen over vores data. Dette gælder kun i et vist omfang. Når vi har brug for at kommunikere med mennesker, der er i stand til at forme vores fremtid, er vi nødt til at bruge officielle e-mail-adresser. På den anden side, når vi forventer opdateringer fra et tidsspildende mobilspil, er vi sandsynligvis bedre til at bruge en e-mail, som vi ikke bryder os for meget om. Vi må trods alt ikke glemme, at både brugernavnet og adgangskoden skal være identiske, hvis et legitimationsstoppningsangreb skal fungere.