A Michigan-i Egyetem jelszó-kiszivárogtatást ró harmadik fél adatainak megsértésére
Pénteken a Michigan Egyetemen (UM) hallgatókat figyelmeztették a bejelentkezési hitelesítő adatok listájára, amely lebegett. A fájlt szabadon terjesztették, és valójában több tízezer pár @umich.edu e-mail címet és egyszerű szöveges jelszót tartalmazott. Néhány diák átnézte a listát, és féltek rájönni, hogy bejelentkezési adataik érvényesek. Előreláthatólag eredetileg az UM küszöbén fektették be a hibát, de később kiderült, hogy az intézmény semmilyen módon nem felelős a szivárgásért. Valójában kiderült, hogy a hallgatók tehettek volna sokkal többet saját maguk védelmére.
A bejelentkezési adatok kiszivárogtak független jogsértések során
Nem sokkal a listák nyilvánosságra hozatala után a Michigan-i Egyetem kiadott egy hivatalos tanácsot, amelyben kifejtette, hogy a kiszivárogtatott e-mail címek és jelszavak harmadik fél adatainak megsértéséből származnak. Az egyetem biztosította hallgatóinak, hogy a rendszerét nem veszélyeztetik, és bejelentette, hogy alaphelyzetbe állítja a jelszavakat, ha valódi jogosulatlan hozzáférés veszélyét látja.
Miután tisztázta, mi történt pontosan, a tanácsadó néhány tippet adott a hallgatóknak az általános online biztonság fokozása érdekében. Azt kell mondani, hogy ha a hallgatók figyelmen kívül hagyták ezeket a tippeket, még mielőtt a jelszavak listáját közzétették volna, akkor a tanácsadás teljesen felesleges lett volna.
Hogyan veszélyeztetik magukat az UM hallgatói?
A felhasználónevek és jelszavak felsorolása miatt az UM hallgatói nagyon valószínűleg ki vannak téve a hitelesítő adatok kitöltésének támadásainak. Azoknak, akik nem tudják, a hitelesítő adatok kitöltésére irányuló támadások során a hackerek nagy listát vesznek fel az egyik szolgáltatásból ellopták a felhasználóneveket és jelszavakat, és kipróbálják azokat több más ellen. Reméljük, hogy sokan ugyanazokat a hitelesítő adatokat használják sok különböző weboldalon, és az a tény, hogy a hitelesítő adatok kitöltését széles körben úgy tekintik a legjobb módszernek, hogy nagy számú fiókot veszélyeztessenek minimális erőfeszítéssel, azt mutatja, hogy a tét általában kifizetődik.
Köztudott, hogy a hitelesítő adatok kitöltésének támadása egyetlen módja a jelszó újrafelhasználásának leállítása, de nyilvánvaló, hogy ezt könnyebben lehet mondani, mint megtenni. Ezért létezik kétfaktoros hitelesítés.
A Michigani Egyetem gondolkodott a hallgatók biztonságáról, és bevezet egy olyan rendszert, amely megköveteli a felhasználótól, hogy válaszoljon egy hívásra, írjon be egy kódot, vagy érintse meg a push értesítést a sikeres bejelentkezéshez. Sajnos ezt alapértelmezés szerint nem engedélyezi, és nehéz megmondani, hogy az érintett hallgatók közül hány használja.
Valószínűleg meg kellene érintenünk azt a kérdést, hogy honnan származnak az adatok is. A tanácsadásban a Michigan-i Egyetem három olyan online szolgáltatót említette, amelyeket a múltban megsértettek, és amelyek kiszivárogtathattak e-mail címeket és jelszavakat: a Chegg, a LinkedIn és a Zynga. Hangsúlyoznunk kell, hogy senki sem erősítette meg hivatalosan az ellopott adatok származását, ám e három szolgáltatóval együtt megmutatjuk, hogy mennyire fontos gondolni arra, hogy melyik e-mail címet használja regisztrációkor online fiók.
A Chegg szolgáltatásokat kínál az oktatás területén, és láthatja, hogy a hallgatók hogyan használhatják a Michigan-i Egyetem e-mail címét a Chegg-fiók regisztrációjához. A LinkedIn a világ legnépszerűbb professzionális közösségi hálózata, és valószínűleg igazolhatja egy profil hozzárendelését egy @umich.edu címhez.
A Zynga viszont az online játékok fejlesztője. Arra kéri regisztrálását, hogy virtuális zöldségeket gazdálkodjon vagy online keresztrejtvényeket oldjon meg. Az egyetemi e-mail cím ilyen típusú fiók létrehozásához való használata egyszerűen nem tűnik megfelelőnek, és amint láthatja, ez az online biztonságot is veszélybe sodorhatja.
Annyi online fiók zsonglőrének szükségessége vezetett néhányan azt a hitet, hogy teljesen elvesztettük az adatok feletti ellenőrzést. Ez csak bizonyos mértékig igaz. Amikor olyan emberekkel kell kommunikálnunk, akik képesek a jövőnk kialakítására, akkor hivatalos e-mail címeket kell használnunk. Másrészt, ha frissítéseket várunk egy idő pazarló mobil játékról, akkor valószínűleg jobb, ha olyan eldobható e-mailt használunk, amelybe nem törődünk. Végül is ne felejtsük el, hogy mind a felhasználónévnek, mind a jelszónak azonosnak kell lennie, ha a hitelesítő adatok kitöltésének támadása működni szeretne.