Mičigano universitetas kaltina slaptažodžių nutekėjimą dėl trečiųjų šalių duomenų pažeidimų

Penktadienį Mičigano universiteto (UM) studentai buvo įspėti apie aplink save plūstantį prisijungimo duomenų sąrašą. Failas buvo laisvai platinamas, ir jame tikrai buvo dešimtys tūkstančių porų @umich.edu el. Pašto adresų ir paprasto teksto slaptažodžiai. Kai kurie studentai peržvelgė sąrašą ir išsigando sužinoję, kad jų prisijungimo duomenys galioja. Prognozuojama, kad jie iš pradžių kaltę padarė UM slenksčiu, tačiau vėliau paaiškėjo, kad įstaiga niekaip nebuvo atsakinga už nutekėjimą. Tiesą sakant, paaiškėjo, kad būtent studentai galėjo padaryti daug daugiau, kad apsisaugotų.

Prisijungimo duomenys buvo nutekinti nesusijusių pažeidimų metu

Netrukus po to, kai sąrašai tapo vieši, Mičigano universitetas paskelbė oficialų patarimą, kuriame paaiškino, kad nutekėję el. Pašto adresai ir slaptažodžiai atsirado dėl trečiųjų šalių duomenų pažeidimų. Universitetas patikino savo studentams, kad jo sistemoms nebuvo padaryta pavojaus, ir paskelbė, kad iš naujo nustatys slaptažodžius, jei pamatys realų neteisėtos prieigos pavojų.

Išsiaiškinęs, kas tiksliai atsitiko, patarimas studentams pateikė keletą patarimų, kaip padidinti bendrą internetinį saugumą. Reikia pasakyti, kad jei studentai būtų atsižvelgę į šiuos patarimus prieš paskelbiant slaptažodžių sąrašą, patarimas būtų buvęs visiškai nereikalingas.

Kaip UM studentai kelia sau pavojų

Naudotojų vardų ir slaptažodžių sąrašas kelia UM studentams labai didelę riziką, kad bus užmegzti prisijungimo duomenys. Tiems iš jūsų, kurie nežino, įsilaužimo akto atakoje įsilaužėliai imasi daugybės naudotojų vardų ir slaptažodžių, pavogtų iš vienos paslaugos, sąrašo ir išbando juos prieš keletą kitų. Jie tikisi, kad daugelis žmonių naudoja tuos pačius kredencialus daugelyje skirtingų svetainių, ir tai, kad plačiai laikoma, kad kredencialų pildymas yra geriausias būdas sukompromituoti daugybę sąskaitų su minimaliomis pastangomis, rodo, kad jų lažybos paprastai atsiperka.

Visuotinai žinoma, kad vienintelis būdas sustabdyti kredencialų įdaro išpuolius yra sustabdyti pakartotinį slaptažodžių naudojimą, tačiau akivaizdu, kad tai pasakyti paprasčiau nei padaryti. Štai kodėl egzistuoja dviejų veiksnių autentifikavimas.

Mičigano universitetas pagalvojo apie savo studentų saugumą ir įdiegė sistemą, pagal kurią vartotojas turi atsakyti į skambutį, įvesti kodą arba bakstelėti tiesioginį pranešimą, kad sėkmingai prisijungtų. Deja, jis neįgalintas pagal numatytuosius nustatymus ir sunku pasakyti, kiek paveiktų studentų juo naudojasi.

Turbūt turėtume paliesti klausimą, iš kur taip pat gaunami duomenys. Mičigano universitetas savo patarime paminėjo tris internetinių paslaugų teikėjus, kurie anksčiau buvo pažeidžiami ir galėjo būti nutekėjusių el. Pašto adresų ir slaptažodžių šaltiniai: „Chegg“, „LinkedIn“ ir „Zynga“. Turėtume atkreipti dėmesį, kad niekas oficialiai nepatvirtino, iš kur pavogti duomenys, tačiau mes eisime kartu su šiais trim teikėjais, kad parodytume, kaip svarbu galvoti apie tai, kurį el. Pašto adresą naudojate registruodamiesi. internetinė sąskaita.

„Chegg“ siūlo paslaugas švietimo srityje ir jūs galite pamatyti, kaip studentas gali naudoti Mičigano universiteto el. Pašto adresą, norėdamas užsiregistruoti „Chegg“ paskyrai. „LinkedIn“ yra populiariausias pasaulyje profesionalus socialinis tinklas, ir jūs taip pat galėtumėte pagrįsti profilio susiejimą su @umich.edu adresu.

Kita vertus, „Zynga“ yra internetinių žaidimų kūrėja. Jame prašoma prisiregistruoti, kad galėtumėte auginti virtualias daržoves ar išspręsti internetinius kryžiažodžius. Universiteto el. Pašto adreso naudojimas tokio tipo abonementams sukurti tiesiog neatrodo teisingas dalykas. Kaip matote, tai taip pat gali kelti pavojų jūsų internetinei saugai.

Poreikis žongliruoti tiek daug internetinių paskyrų paskatino kai kuriuos žmones patikėti, kad mes visiškai praradome savo duomenų kontrolę. Tai tiesa tik tam tikru mastu. Kai mums reikia bendrauti su žmonėmis, kurie gali formuoti mūsų ateitį, turime naudoti oficialius el. Pašto adresus. Kita vertus, kai tikimės atnaujinimų iš daug laiko eikvojančio mobiliojo žaidimo, tikriausiai geriau naudoti išmetamą el. Laišką, kuris mums per mažai rūpi. Galų gale, mes neturime pamiršti, kad tiek vartotojo vardas, tiek slaptažodis turi būti vienodi, jei kredencialų pildymo ataka veiks.