Var Vimeo-kontoen din frosset? Her er hvorfor

Det er trygt å si at enkeltpersoner skal være ansvarlige for sin egen sikkerhet og bør bære konsekvensene når de ikke tar denne oppgaven alvorlig. Likevel, tjenesteleverandører på nettet som tar proaktive skritt for å beskytte brukerne sine, fortjener definitivt et ordtakelig klapp på baksiden. Når det er sagt, er det sannsynligvis like viktig å kommunisere handlingene sine med brukerne som selve handlingene, og dessverre er det her noen ganger ting ikke går så bra som alle håper. Video-delingsplattform Vimeo, for eksempel, viste oss hvordan sikkerhetsinitiativer som ikke er godt forklart kan forårsake mye forvirring.

"Frosne" kontoer lar Vimeo-brukere klø seg i hodet

Forrige uke var det noen eiere av Vimeo-kontoer som innså at de ikke klarte å logge seg på videopubliseringsplattformen. David Smith, en leser av infosec-tidsskriftet The Register, forklarte at han mottok en melding der han fortalte at "en fremmed" hadde tilgang til kontoen hans, og at Vimeo hadde bestemt seg for å fryse profilen for å beskytte ham. Denne typen scenarier er ikke så uvanlig som du kanskje tror, og selv om vi snakker om uautorisert tilgang, betyr det ikke nødvendigvis at onlinetjenesten (Vimeo, i dette tilfellet) har blitt kompromittert.

Legitimasjonsstopping blir mer og mer populært blant nettkriminelle. I den tar skurker en database med brukernavn og passord stjålet fra ett nettsted (f.eks. Et online diskusjonsforum) og prøver dem ut mot en annen plattform (f.eks. Facebook). Fordi så mange mennesker bruker samme innloggingsinformasjon på flere nettsteder, kan ganske mange Facebook-profiler bli kompromittert til tross for at det sosiale nettverket i seg selv ikke har blitt målrettet av hackere.

Noen statistikker som nylig ble publisert av Microsoft, viste at sprøyting av passord også er ganske vanlig i dag. I et passordsprøyteangrep tar kjeltringene en liste over kjente brukernavn og parer dem med noen få ofte brukte, lett å gjette passord. Nok en gang betyr folks tendens til å bruke de samme svake passordene at nettkriminelle kan bryte inn i brukernes kontoer med relativt enkelhet.

Vimeo sa at skadelig programvare hadde stjålet brukernes legitimasjon

David Smith visste at han ikke hadde blitt målrettet av et legitimasjonsutstoppningsangrep, og han var også ganske sikker på at sprøyting med passord ikke var involvert. Han var trygg på at noe annet var tilfelle fordi han, i motsetning til mange mennesker, brukte et unikt, tilfeldig generert passord for sin Vimeo-konto.

Forvirret rakte han seg til The Register i et forsøk på å forstå hva som hadde skjedd. Journalistene var ikke klokere, men de tok kontakt med Vimeo, og videodelingsplattformen avslørte til slutt hva som egentlig foregikk. En representant sa til The Register at Vimeos sikkerhetsteam hadde funnet "en liste over kompromitterte e-post- og passordkombinasjoner fanget fra malware." Hvordan de fant dem, forblir ukjent, men de sjekket dem og innså at minst en del av dataene var gyldige. For å beskytte brukere blokkerte de tilgangen til de berørte kontoene.

Det er ikke klart hvor lett tilgjengelig de stjålne legitimasjonene var, men det er trygt å si at uansett omstendighetene, det var riktig å fryse regnskapet. Det som imidlertid ikke er helt klart, er hvorfor Vimeo gjorde det uten å informere brukere og resten av verden om det. Selv nå, etter at historien fant veien til The Registers ukentlige nyhetsoppdatering, har ikke Vimeo røpet noen spesifikke detaljer gjennom de vanlige informasjonskanalene, noe som betyr at noen brukere fremdeles kan være uvitende om hva som skjer. De vet kanskje ikke at de burde skanne enhetene sine for malware og endre passordene deres heller.

Handlinger som dette er ment å håndheve folks tillit til tjenesteleverandøren, men når de ikke blir forklart ordentlig, kan de ha motsatt effekt. Forhåpentligvis fortsetter vi med å se online plattformer som tar vare på brukerne sine, og vi vil også være vitne til en mer transparent håndtering av sikkerhetshendelser.