ミシガン大学、サードパーティのデータ侵害によるパスワード漏洩を非難

金曜日に、ミシガン大学（UM）の学生は、飛び交っていたログイン資格情報のリストについて警告を受けました。ファイルは自由に配布され、確かに数万の@umich.eduメールアドレスとプレーンテキストのパスワードのペアが含まれていました。一部の学生はリストを見て、ログインデータが有効であることを知って驚いた。予想通り、彼らは当初UMの玄関口に責任を負いましたが、後にその機関が何らかの形でリークの責任を負っていないことが判明しました。実際、自分を守るためにもっと多くのことができたのは学生だったことがわかりました。

無関係な違反の際にログインデータが漏洩した

リストが公開されて間もなく、ミシガン大学は公式の勧告を発表し、漏えいした電子メールアドレスとパスワードはサードパーティのデータ侵害によるものであると説明しました。大学は、システムが侵害されていないことを学生に保証し、不正アクセスの本当の危険性がある場合はパスワードをリセットすると発表しました。

何が起こったのかを明確にした後、アドバイザリーは学生に全体的なオンラインセキュリティを強化する方法についていくつかのヒントを与えました。パスワードのリストが公開される前に学生がこれらのヒントに注意を払っていたら、勧告は完全に不要だったでしょう。

UMの学生が自分を危険にさらす方法

ユーザー名とパスワードの一覧は、UMの学生を資格情報のスタッフ攻撃の非常に現実的なリスクにさらしています。知らない人のために、 クレデンシャルスタッフィング攻撃では 、ハッカーは1つのサービスから盗んだユーザー名とパスワードの大量のリストを取得し、他の複数のサービスに対してそれらを試みます。彼らは、多くの人々が多くの異なるWebサイトで同じ認証情報を使用することを望んでおり、認証情報のスタッフィングが最小限の労力で多数のアカウントを侵害する最良の方法であると広く考えられているという事実は、彼らの賭けが通常報われることを示しています。

クレデンシャルスタッフィング攻撃を阻止する唯一の方法はパスワードの再利用を阻止することであるということは一般的な知識ですが、これは言うよりも言うのが簡単であることは明らかです。これが、2要素認証が存在する理由です。

ミシガン大学は、学生のセキュリティについて考え、ユーザーが電話に応答したり、コードを入力したり、プッシュ通知をタップしたりして正常にログインできるようにするシステムを実装しています。残念ながら、これはデフォルトでは有効になっておらず、影響を受ける学生の何人がそれを使用しているかを言うのは困難です。

データがどこから来ているかという問題にも触れるべきでしょう。ミシガン大学はその勧告の中で、過去に侵害されており、漏洩した電子メールアドレスとパスワードのソースとして機能した可能性のある3つのオンラインサービスプロバイダーについて言及しました：Chegg、LinkedIn、Zynga。盗まれたデータがどこから来たのかを公式に確認した人はいないことを指摘しておく必要がありますが、これらの3つのプロバイダーと共に、登録時に使用しているメールアドレスを考慮することがどれほど重要であるかを説明します。オンラインアカウント。

Cheggは教育分野でサービスを提供しており、学生がミシガン大学のメールアドレスを使用してCheggアカウントに登録する方法を確認できます。 LinkedInは世界で最も人気のあるプロフェッショナルソーシャルネットワークであり、プロフィールを@umich.eduアドレスに関連付けることを正当化することもできます。

一方、Zyngaはオンラインゲームの開発者です。仮想野菜を栽培したり、オンラインクロスワードを解決したりできるように、登録を求められます。大学のメールアドレスを使用してこのタイプのアカウントを作成することは、正しいことのように思えないだけでなく、ご覧のように、オンラインのセキュリティを危険にさらす可能性もあります。

非常に多くのオンラインアカウントを調整する必要があるため、一部の人々は、データに対する制御が完全に失われたと信じています。これは、ある程度まで当てはまります。将来を形作る立場にある人々とコミュニケーションをとる必要がある場合、公式のメールアドレスを使用する必要があります。一方、時間のかかるモバイルゲームからの更新が予想される場合は、あまり気にしない使い捨てのメールを使用した方がよいでしょう。結局のところ、クレデンシャルの詰め込み攻撃が機能するためには、ユーザー名とパスワードの両方が同一でなければならないことを忘れてはなりません。