Var din Vimeo-konto frosset? Her er hvorfor

Det er sikkert at sige, at enkeltpersoner skal være ansvarlige for deres egen sikkerhed og skulle bære konsekvenserne, når de ikke tager denne opgave alvorligt. Ikke desto mindre fortjener onlinetjenesteudbydere, der tager proaktive skridt for at beskytte deres brugere, definitivt et åbenlyst klap på bagsiden. Når det er sagt, er det sandsynligvis lige så vigtigt at kommunikere deres handlinger med brugerne, og desværre er det her, nogle gange tingene ikke går så godt, som alle håber. Video-delingsplatform Vimeo for eksempel viste os, hvordan sikkerhedsinitiativer, der ikke er godt forklaret, kan forårsage en masse forvirring.

"Frosne" konti lader Vimeo-brugere skrabe deres hoveder

Sidste uge forstod nogle Vimeo-kontoejere, at de ikke er i stand til at logge ind på videoudgivelsesplatformen. David Smith, læser af infosec-tidsskriftet Registeret, forklarede, at han modtog en meddelelse om, at "en fremmed" havde adgang til hans konto, og at Vimeo for at beskytte ham havde besluttet at indefryse profilen. Denne slags scenarie er ikke så usædvanlig, som du måske tror, og selvom vi taler om uautoriseret adgang, betyder det ikke nødvendigvis, at onlinetjenesten (Vimeo, i dette tilfælde) er blevet kompromitteret.

Credential stuffing bliver mere og mere populært blandt cyberkriminelle. I den tager skurker en database med brugernavne og adgangskoder stjålet fra et websted (f.eks. Et online diskussionsforum) og prøv dem ud mod en anden platform (f.eks. Facebook). Fordi så mange mennesker bruger de samme loginoplysninger på flere websteder, kunne en hel del Facebook-profiler kompromitteres på trods af det faktum, at det sociale netværk ikke selv er blevet målrettet af hackere.

Nogle statistikker, der for nylig er blevet offentliggjort af Microsoft, viste, at sprøjtning af adgangskode også er relativt almindeligt i dag. I et sprøjteangreb med en adgangskode tager skurkerne en liste over kendte brugernavne og parrer dem med et par almindeligt anvendte, let at gætte adgangskoder. Endnu en gang betyder folks tendens til at bruge de samme svage adgangskoder, at cyberkriminelle kan bryde ind i brugernes konti med relativt lethed.

Vimeo sagde, at malware havde stjålet brugernes legitimationsoplysninger

David Smith vidste, at han ikke var blevet målrettet af et legitimationsudstoppningsangreb, og han var også temmelig sikker på, at der ikke var tale om sprøjtning med kodeord. Han var overbevist om, at noget andet var sagen, fordi han i modsætning til mange mennesker brugte en unik, tilfældigt genereret adgangskode til sin Vimeo-konto.

Forbløffet rakte han sig til The Register i et forsøg på at forstå, hvad der var sket. Journalisterne var ikke klokere, men de tog kontakt med Vimeo, og platformen til deling af video afsluttede til sidst, hvad der virkelig foregik. En repræsentant fortalte The Register, at Vimeos sikkerhedsteam havde fundet "en liste over kompromitterede e-mail- og adgangskodekombinationer fanget fra malware." Hvordan de fandt dem forbliver ukendt, men de kontrollerede dem og indså, at mindst en del af dataene var gyldige. For at beskytte brugere blokerede de adgangen til de berørte konti.

Det er ikke klart, hvor let tilgængelige de stjålne legitimationsoplysninger var, men det er sikkert at sige, at uanset omstændighederne var frysning af konti det rigtige. Hvad der imidlertid ikke er helt klart, er, hvorfor Vimeo gjorde det uden at informere brugere og resten af verden om det. Selv nu, efter at historien fandt vej til The Register's ugentlige nyhedsundersøgelse, har Vimeo ikke afsløret nogen specifikke detaljer gennem de regelmæssige informationskanaler, hvilket betyder, at nogle brugere måske stadig ikke er opmærksomme på, hvad der foregår. De ved muligvis ikke, at de skal scanne deres enheder efter malware og ændre deres adgangskoder heller.

Handlinger som dette formodes at håndhæve folks tillid til tjenesteudbyderen, men når de ikke er korrekt forklaret, kan de have den modsatte effekt. Forhåbentlig fortsætter vi med at se online platforme, der tager sig af deres brugere, og vi vil også være vidne til en mere gennemsigtig håndtering af sikkerhedshændelser.