University of Michigan beskylder passordlekkasjer for tredjeparts datainnbrudd

På fredag ble studenter ved University of Michigan (UM) varslet om en liste med innloggingsinformasjon som fløt rundt. Filen ble fritt distribuert, og den inneholdt riktignok titusenvis av par @umich.edu e-postadresser og klartekst passord. Noen av studentene så på listen, og de ble skremt for å finne ut at innloggingsdataene deres var gyldige. Forutsigbart la de innledningen skylden på UMs dørstokk, men det viste seg senere at institusjonen ikke var ansvarlig for lekkasjen på noen måte. Det viste seg faktisk at det var studentene som kunne ha gjort mye mer for å beskytte seg.

Innloggingsdataene ble lekket under ikke-relaterte brudd

Kort tid etter at listene ble offentlige, ga University of Michigan ut en offisiell rådgivning, hvor han forklarte at de lekkede e-postadressene og passordene kom fra tredjeparts datainnbrudd. Universitetet forsikret studentene om at systemene ikke har blitt kompromittert, og kunngjorde at det vil tilbakestille passord hvis det ser en reell fare for uautorisert tilgang.

Etter å ha ryddet opp i hva som hadde skjedd nøyaktig, ga rådgivende studenter noen tips om hvordan de kan øke deres generelle online sikkerhet. Det må sies at hvis studentene hadde fulgt disse tipsene før listen over passord ble publisert, ville rådgivningen vært helt unødvendig.

Hvordan UMs studenter setter seg i fare

Listen over brukernavn og passord setter UMs studenter en veldig reell risiko for legitimasjonsstoppningsangrep. For de av dere som ikke kjenner, i et legitimasjonsstoppangrep, tar hackere en stor liste over brukernavn og passord stjålet fra en tjeneste og prøver dem mot flere andre. De håper at mange bruker de samme legitimasjonene på mange forskjellige nettsteder, og det faktum at legitimasjonsstopping anses for å være den beste måten å kompromittere et stort antall kontoer med minimumsinnsats viser at innsatsen deres vanligvis lønner seg.

Det er kjent at den eneste måten å stoppe legitimasjonsstoppangrep er å stoppe gjenbruk av passord, men det er tydelig at dette er lettere sagt enn gjort. Dette er grunnen til at tofaktorautentisering eksisterer.

University of Michigan har tenkt på studentenes sikkerhet, og det har implementert et system som krever at brukeren skal svare på et anrop, oppgi en kode eller trykke på en pushvarsling for å logge inn. Dessverre er det ikke aktivert som standard, og det er vanskelig å si hvor mange av de berørte studentene som bruker den.

Vi bør sannsynligvis berøre spørsmålet om hvor dataene kommer fra også. I sin rådgivende omtale nevnte University of Michigan tre nettbaserte tjenesteleverandører som har blitt brutt i fortiden og kunne ha fungert som kilden til de lekke e-postadressene og passordene: Chegg, LinkedIn og Zynga. Vi må påpeke at ingen offisielt har bekreftet hvor de stjålne dataene kom fra, men vi vil gå med disse tre leverandørene for å illustrere poenget med hvor viktig det er å tenke på hvilken e-postadresse du bruker når du registrerer deg en online konto.

Chegg tilbyr tjenester innen utdanningsfære, og du kan se hvordan en student kan bruke e-postadressen til University of Michigan for å registrere seg for en Chegg-konto. LinkedIn er verdens mest populære profesjonelle sosiale nettverk, og du kan kanskje også rettferdiggjøre å knytte en profil der til en @umich.edu-adresse.

Zynga er derimot utvikler av online spill. Den ber deg registrere deg slik at du kan dyrke virtuelle grønnsaker eller løse kryssord på nettet. Å bruke en e-postadresse på universitetet for å opprette denne typen kontoer virker bare ikke som den riktige tingen å gjøre, og som du kan se, kan det også sette din online sikkerhet i fare.

Behovet for å sjonglere så mange nettkontoer har fått noen til å tro at vi helt har mistet kontrollen over dataene våre. Dette gjelder bare til en viss grad. Når vi trenger å kommunisere med mennesker som er i stand til å forme fremtiden vår, må vi bruke offisielle e-postadresser. På den annen side, når vi forventer oppdateringer fra et tidsspillende mobilspill, er vi sannsynligvis bedre med å bruke en kastet e-post som vi ikke bryr oss så mye om. Tross alt må vi ikke glemme at både brukernavnet og passordet må være identiske hvis et legitimasjonsstoppningsangrep skal fungere.