Czy Twoje konto Vimeo zostało zamrożone? Dlatego

Można śmiało powiedzieć, że osoby powinny być odpowiedzialne za własne bezpieczeństwo i ponosić konsekwencje, jeśli nie traktują tego zadania wystarczająco poważnie. Niemniej jednak dostawcy usług internetowych, którzy podejmują proaktywne kroki w celu ochrony swoich użytkowników, zdecydowanie zasługują na przysłowiowe poklepanie po plecach. To powiedziawszy, komunikowanie swoich działań z użytkownikami jest prawdopodobnie równie ważne jak same działania, i niestety, w tym momencie czasami rzeczy nie idą tak dobrze, jak wszyscy mają nadzieję. Na przykład platforma udostępniania wideo Vimeo pokazała nam, w jaki sposób słabo wyjaśnione inicjatywy bezpieczeństwa mogą powodować wiele zamieszania.

Konta „zamrożone” sprawiają, że użytkownicy Vimeo drapią się w głowy

W ubiegłym tygodniu niektórzy właściciele kont Vimeo zdali sobie sprawę, że nie są w stanie zalogować się do platformy publikowania filmów. David Smith, czytelnik magazynu „Infosec” The Register, wyjaśnił, że otrzymał powiadomienie, że „nieznajomy” uzyskał dostęp do jego konta i że aby go chronić, Vimeo postanowił zamrozić profil. Ten rodzaj scenariusza nie jest tak rzadki, jak mogłoby się wydawać, i chociaż mówimy o nieautoryzowanym dostępie, niekoniecznie oznacza to, że usługa internetowa (w tym przypadku Vimeo) została naruszona.

Wypełnianie poświadczeń staje się coraz bardziej popularne wśród cyberprzestępców. Oszuści biorą w nim bazę danych nazw użytkowników i haseł skradzionych z jednej strony internetowej (np. Forum dyskusyjnego online) i wypróbowują je na innej platformie (np. Facebook). Ponieważ tak wiele osób ponownie korzysta z tych samych danych logowania na wielu stronach internetowych, wiele profili Facebooka może zostać naruszonych, mimo że hakerzy nie byli celem ataków na samą sieć społecznościową.

Niektóre statystyki opublikowane niedawno przez Microsoft pokazały, że rozpylanie haseł jest obecnie dość powszechne. W ataku polegającym na rozpylaniu haseł, oszuści biorą listę znanych nazw użytkowników i łączą je z kilkoma powszechnie używanymi, łatwymi do odgadnięcia hasłami. Po raz kolejny skłonność ludzi do używania tych samych słabych haseł oznacza, że cyberprzestępcy mogą stosunkowo łatwo włamać się na konta użytkowników.

Vimeo powiedział, że złośliwe oprogramowanie skradło dane uwierzytelniające użytkowników

David Smith wiedział, że nie padł ofiarą ataku na dane uwierzytelniające, a także był całkiem pewien, że nie było w tym przypadku natryskiwania hasła. Był pewien, że chodziło o coś innego, ponieważ w przeciwieństwie do wielu osób używał unikalnego, losowo generowanego hasła do swojego konta Vimeo.

Zaskoczony sięgnął do Rejestru, próbując zrozumieć, co się stało. Dziennikarze nie byli wcale mądrzejsi, ale skontaktowali się z Vimeo, a platforma udostępniania wideo w końcu ujawniła, co się naprawdę dzieje. Przedstawiciel powiedział The Register, że zespół bezpieczeństwa Vimeo znalazł „listę zainfekowanych kombinacji e-maili i haseł przechwyconych przez złośliwe oprogramowanie”. To, jak je znaleźli, pozostaje nieznane, ale sprawdzili je i zdali sobie sprawę, że przynajmniej część danych jest poprawna. Aby chronić użytkowników, zablokowali dostęp do kont, których dotyczy problem.

Nie jest jasne, jak łatwo dostępne były skradzione dane uwierzytelniające, ale można śmiało powiedzieć, że niezależnie od okoliczności, zamrożenie kont było właściwym rozwiązaniem. Nie jest jednak jasne, dlaczego Vimeo zrobiło to bez informowania o tym użytkowników i reszty świata. Nawet teraz, po tym, jak historia trafiła do cotygodniowego podsumowania The Register, Vimeo nie ujawnił żadnych konkretnych szczegółów za pośrednictwem regularnych kanałów informacyjnych, co oznacza, że niektórzy użytkownicy mogą nadal nie wiedzieć, co się dzieje. Mogą nie wiedzieć, że powinni również przeskanować swoje urządzenia w poszukiwaniu złośliwego oprogramowania i zmienić hasła.

Takie działania mają wzmocnić zaufanie ludzi do usługodawcy, ale jeśli nie zostaną odpowiednio wyjaśnione, mogą mieć odwrotny skutek. Mamy nadzieję, że nadal będziemy obserwować platformy internetowe dbające o ich użytkowników, a także będziemy świadkami bardziej przejrzystej obsługi incydentów bezpieczeństwa.