Ar jūsų „Vimeo“ sąskaita buvo įšaldyta? Štai kodėl
Galima sakyti, kad asmenys turėtų būti atsakingi už savo saugumą ir prisiimti pasekmes, kai jie nepakankamai rimtai vertina šią užduotį. Nepaisant to, internetinių paslaugų teikėjai, kurie imasi iniciatyvių veiksmų apsaugoti savo vartotojus, tikrai verti patarlės, pateiktos ant nugaros. Vis dėlto turbūt ne mažiau svarbu pranešti apie savo veiksmus su vartotojais, nei pačius veiksmus, ir, deja, kartais viskas klostosi ne taip gerai, kaip visi tikisi. Pavyzdžiui, vaizdo įrašų bendro naudojimo platforma „Vimeo“ mums parodė, kaip nepakankamai paaiškintos saugumo iniciatyvos gali sukelti daug painiavos.
„Užšaldytos“ paskyros „Vimeo“ vartotojams palieka galvą
Praėjusią savaitę kai kurie „Vimeo“ paskyros savininkai suprato, kad negali prisijungti prie vaizdo įrašų publikavimo platformos. „Infosec“ žurnalo „The Register“ skaitytojas Davidas Smithas paaiškino, kad gavo pranešimą, kuriame sakoma, kad „nepažįstamas asmuo“ pateko į jo sąskaitą ir kad, norėdamas jį apsaugoti, Vimeo nusprendė įšaldyti profilį. Šis scenarijus nėra toks neįprastas, kaip jūs galite manyti, ir, nors mes kalbame apie neteisėtą prieigą, tai nebūtinai reiškia, kad internetinė paslauga (šiuo atveju „Vimeo“) buvo pažeista.
Įgaliojimų įdarai tampa vis populiaresni elektroninių nusikaltėlių tarpe. Jame sukčiai paima iš vienos svetainės pavogtų naudotojų vardų ir slaptažodžių duomenų bazę (pvz., Internetinę diskusijų lentą) ir išbando juos kitoje platformoje (pvz., „Facebook“). Kadangi tiek daug žmonių pakartotinai naudoja tuos pačius prisijungimo duomenis keliose svetainėse, nemažai „Facebook“ profilių gali būti pažeisti, nepaisant to, kad įsilaužėliai nebuvo nukreipti į patį socialinį tinklą.
Kai kurie neseniai „Microsoft“ paskelbti statistiniai duomenys parodė, kad šiais laikais taip pat gana paplitęs slaptažodžio purškimas. Slaptažodžių purškimo atakoje sukčiai paima žinomų naudotojų vardų sąrašą ir susieja juos su keliais dažniausiai naudojamais lengvai atspėjamais slaptažodžiais. Vėlgi, žmonių polinkis naudoti tuos pačius silpnus slaptažodžius reiškia, kad elektroniniai nusikaltėliai gana lengvai gali įsilaužti į vartotojų sąskaitas.
„Vimeo“ teigė, kad kenkėjiška programinė įranga pavogė vartotojų kredencialus
Davidas Smithas žinojo, kad į jį nebuvo nukreiptas kredencialų įdaro užpuolimas, ir jis taip pat buvo gana tikras, kad slaptažodžių purškimas nebuvo susijęs. Jis buvo įsitikinęs, kad reikalas yra kažkas kita, nes skirtingai nuo daugelio žmonių, jis naudojo unikalų, atsitiktinai sugeneruotą slaptažodį savo „Vimeo“ paskyroje.
Sumišęs jis susisiekė su „The Register“, bandydamas suprasti, kas nutiko. Žurnalistai nebuvo protingesni, tačiau jie susisiekė su „Vimeo“, o vaizdo dalijimosi platforma pagaliau atskleidė, kas iš tikrųjų vyko. Atstovas „The Register“ sakė, kad „Vimeo“ saugos komanda rado „kompromituotų el. Pašto ir slaptažodžių kombinacijų, užfiksuotų nuo kenkėjiškų programų, sąrašą“. Kaip jie juos rado, nežinoma, tačiau jie patikrino ir suprato, kad bent dalis duomenų yra teisingi. Norėdami apsaugoti vartotojus, jie užblokavo prieigą prie paveiktų paskyrų.
Neaišku, kaip lengvai buvo prieinami pavogti dokumentai, tačiau galima drąsiai teigti, kad bet kokiomis aplinkybėmis sąskaitos įšaldymas buvo teisingas dalykas. Tačiau ne visai aišku, kodėl „Vimeo“ tai padarė neinformavusi apie tai vartotojų ir likusio pasaulio. Net dabar, po to, kai istorija rado kelią į savaitinį „The Register“ naujienų turą, „Vimeo“ per įprastus informacijos kanalus neatskleidė jokios konkrečios informacijos, o tai reiškia, kad kai kurie vartotojai vis dar gali nežinoti apie tai, kas vyksta. Jie galbūt nežino, kad taip pat turėtų nuskaityti savo įrenginius, ar nėra kenkėjiškų programų, ir pakeisti slaptažodžius.
Manoma, kad tokie veiksmai sustiprina žmonių pasitikėjimą paslaugų teikėju, tačiau, kai jie nėra tinkamai paaiškinti, jie gali sukelti priešingą efektą. Tikimės, kad ir toliau matysime internetines platformas, besirūpinančias jų vartotojais, taip pat matysime skaidresnį saugumo incidentų valdymą.