Ήταν ο Λογαριασμός σας Vimeo Κατεψυγμένος; Εδώ είναι γιατί

Είναι ασφαλές να πούμε ότι τα άτομα θα πρέπει να είναι υπεύθυνα για τη δική τους ασφάλεια και θα πρέπει να φέρουν τις συνέπειες όταν δεν παίρνουν σοβαρά αυτό το καθήκον. Παρόλα αυτά, οι πάροχοι υπηρεσιών σε απευθείας σύνδεση που λαμβάνουν προληπτικά μέτρα για την προστασία των χρηστών τους αξίζουν σίγουρα ένα παροιμιώδες κτύπημα στην πλάτη. Τούτου λεχθέντος, η επικοινωνία των ενεργειών τους με τους χρήστες είναι πιθανώς εξίσου σημαντική με τις ίδιες τις ενέργειες, και δυστυχώς, αυτό είναι που μερικές φορές τα πράγματα δεν πάνε τόσο καλά όσο όλοι ελπίζουν. Η πλατφόρμα ανταλλαγής βίντεο Vimeo, για παράδειγμα, μας έδειξε πως οι πρωτοβουλίες ασφαλείας που δεν έχουν εξηγήσει καλά μπορούν να προκαλέσουν πολλή σύγχυση.

Οι λογαριασμοί "Κατεψυγμένα" αφήνουν τους χρήστες της Vimeo να ξύνουν τα κεφάλια τους

Την περασμένη εβδομάδα, μερικοί ιδιοκτήτες λογαριασμών Vimeo αντιλήφθηκαν ότι δεν μπορούν να συνδεθούν στην πλατφόρμα δημοσίευσης βίντεο. Ο David Smith, ένας αναγνώστης του περιοδικού Infosec The Register, εξήγησε ότι έλαβε μια ειδοποίηση που του έλεγε ότι ένας «ξένος» είχε αποκτήσει πρόσβαση στο λογαριασμό του και ότι για να τον προστατεύσει, ο Vimeo είχε αποφασίσει να παγώσει το προφίλ. Αυτό το σενάριο δεν είναι τόσο ασυνήθιστο όσο νομίζετε και αν και μιλάμε για μη εξουσιοδοτημένη πρόσβαση, αυτό δεν σημαίνει απαραίτητα ότι η ηλεκτρονική υπηρεσία (Vimeo, σε αυτή την περίπτωση) έχει διακυβευτεί.

Η γνησιότητα των παραληπτών γίνεται όλο και πιο δημοφιλής στους εγκληματίες του κυβερνοχώρου. Σε αυτό, απατεώνες παίρνουν μια βάση δεδομένων με ονόματα χρηστών και κωδικούς πρόσβασης κλεμμένους από έναν ιστότοπο (π.χ. μια ηλεκτρονική πλατφόρμα συζήτησης) και τα δοκιμάζουν σε μια άλλη πλατφόρμα (π.χ. Facebook). Επειδή τόσοι πολλοί άνθρωποι επαναχρησιμοποιούν τα ίδια διαπιστευτήρια σύνδεσης σε πολλούς ιστότοπους, αρκετά προφίλ στο Facebook θα μπορούσαν να παραβιαστούν παρά το γεγονός ότι το ίδιο το κοινωνικό δίκτυο δεν έχει στοχεύσει οι χάκερ.

Μερικά στατιστικά στοιχεία που δημοσιεύθηκαν πρόσφατα από τη Microsoft έδειξαν ότι ο ψεκασμός κωδικού πρόσβασης είναι αρκετά συνηθισμένος και σήμερα. Σε μια επίθεση ψεκασμού κωδικού πρόσβασης, οι απατεώνες λαμβάνουν μια λίστα με γνωστά ονόματα χρηστών και τα συνδυάζουν με μερικούς συνήθης, εύκολο να μαντέψουν κωδικούς πρόσβασης. Για άλλη μια φορά, η τάση των ανθρώπων να χρησιμοποιούν τους ίδιους αδύναμους κωδικούς πρόσβασης σημαίνει ότι οι εγκληματίες στον κυβερνοχώρο μπορούν να σπάσουν στους λογαριασμούς των χρηστών με σχετικά ευκολία.

Ο Vimeo είπε ότι το malware είχε κλέψει τα διαπιστευτήρια των χρηστών

Ο Ντέιβιντ Σμιθ ήξερε ότι δεν είχε στοχεύσει από μια επίθεση γεμάτη επίπληξη και ήταν επίσης αρκετά σίγουρος ότι ο ψεκασμός με κωδικό δεν αφορούσε. Ήταν σίγουρος ότι κάτι άλλο ήταν το θέμα γιατί, αντίθετα με πολλούς ανθρώπους, χρησιμοποίησε έναν μοναδικό, τυχαία παραγόμενο κωδικό πρόσβασης για το λογαριασμό του Vimeo.

Μπερδεμένος, έφτασε στο The Register σε μια προσπάθεια να καταλάβει τι είχε συμβεί. Οι δημοσιογράφοι δεν ήταν οι σοφοί, αλλά έρχονταν σε επαφή με τον Vimeo και η πλατφόρμα κοινής χρήσης βίντεο αποκάλυψε τελικά τι πραγματικά συμβαίνει. Ένας εκπρόσωπος είπε στο The Registry ότι η ομάδα ασφαλείας της Vimeo είχε βρει "μια λίστα με συμβιβασμούς συνδυασμούς ηλεκτρονικού ταχυδρομείου και κωδικού πρόσβασης που συλλαμβάνονται από κακόβουλο λογισμικό". Ο τρόπος με τον οποίο τα βρήκαν παραμένει άγνωστος, αλλά τα έλεγξαν και συνειδητοποίησαν ότι τουλάχιστον ένα μέρος των δεδομένων ήταν έγκυρο. Προκειμένου να προστατεύσουν τους χρήστες, εμπόδισαν την πρόσβαση στους επηρεαζόμενους λογαριασμούς.

Δεν είναι σαφές πόσο εύκολη ήταν η πρόσβαση στα κλεμμένα διαπιστευτήρια, αλλά είναι ασφαλές να πούμε ότι ανεξάρτητα από τις περιστάσεις, το πάγωμα των λογαριασμών ήταν το σωστό πράγμα. Αυτό που δεν είναι απολύτως σαφές είναι ο λόγος για τον οποίο η Vimeo το έκανε χωρίς να ενημερώσει τους χρήστες και τον υπόλοιπο κόσμο για αυτό. Ακόμη και τώρα, αφού η ιστορία βρήκε το δρόμο για την εβδομαδιαία ειδησεογραφία των Ημερολογίων, ο Vimeo δεν αποκάλυψε συγκεκριμένες λεπτομέρειες μέσω των κανονικών διαύλων ενημέρωσης, πράγμα που σημαίνει ότι ορισμένοι χρήστες ενδέχεται να μην γνωρίζουν τι συμβαίνει. Μπορεί να μην γνωρίζουν ότι πρέπει να σαρώσουν τις συσκευές τους για κακόβουλο λογισμικό και να αλλάξουν τους κωδικούς πρόσβασής τους.

Πράξεις όπως αυτό υποτίθεται ότι επιβάλλουν την εμπιστοσύνη των ανθρώπων στον πάροχο υπηρεσιών, αλλά όταν δεν εξηγούνται σωστά, μπορούν να έχουν το αντίθετο αποτέλεσμα. Ας ελπίσουμε ότι θα συνεχίσουμε να βλέπουμε τις διαδικτυακές πλατφόρμες να φροντίζουν τους χρήστες τους και θα παρακολουθούμε επίσης πιο διαφανή χειρισμό συμβάντων ασφαλείας.