Мичиганский университет обвиняет пароли в утечках данных

В пятницу студенты из Университета Мичигана (UM) были предупреждены о списке учетных данных, которые распространялись вокруг. Файл был свободно распространен, и он действительно содержал десятки тысяч пар адресов электронной почты @umich.edu и пароли в виде открытого текста. Некоторые из студентов взглянули на список, и они испугались, узнав, что их данные для входа в систему действительны. Как и ожидалось, они первоначально возложили вину на порог единой системы обмена сообщениями, но позже выяснилось, что учреждение не несет ответственности за утечку в любом случае. Фактически оказалось, что именно студенты могли сделать намного больше, чтобы защитить себя.

Данные для входа были пропущены во время несвязанных нарушений

Вскоре после того, как списки стали общедоступными, Мичиганский университет выпустил официальное уведомление, объясняющее, что утечка адресов электронной почты и паролей произошла из-за несанкционированного доступа к данным. Университет заверил своих студентов, что его системы не были скомпрометированы, и объявил, что сбросит пароли, если увидит реальную опасность несанкционированного доступа.

После выяснения, что именно произошло, совет дал студентам несколько советов о том, как повысить их общую безопасность в Интернете. Надо сказать, что если бы ученики прислушивались к этим советам до того, как список паролей был опубликован, рекомендации были бы совершенно ненужными.

Как студенты UM подвергают себя опасности

Список имен пользователей и паролей подвергает учащихся UM очень реальному риску атак с использованием учетных данных. Для тех из вас, кто не знает, при атаке с использованием учетных данных хакеры получают большой список имен пользователей и паролей, украденных из одного сервиса, и сравнивают их с несколькими другими. Они надеются, что многие люди используют одни и те же учетные данные на разных веб-сайтах, и тот факт, что заполнение учетными данными считается лучшим способом взлома большого количества учетных записей с минимальными усилиями, показывает, что их ставка обычно окупается.

Общеизвестно, что единственный способ прекратить атаки по заполнению учетными данными - остановить повторное использование пароля, но ясно, что это легче сказать, чем сделать. Вот почему существует двухфакторная аутентификация.

Университет Мичигана задумался о безопасности своих студентов и внедрил систему, которая требует, чтобы пользователь отвечал на вызов, вводил код или нажимал на push-уведомление для успешного входа в систему. К сожалению, он не включен по умолчанию, и трудно сказать, сколько из затронутых студентов используют его.

Вероятно, нам следует затронуть вопрос о том, откуда поступают данные. В своих рекомендациях Мичиганский университет упомянул трех провайдеров онлайн-услуг, которые были взломаны в прошлом и могли служить источником утечек адресов электронной почты и паролей: Chegg, LinkedIn и Zynga. Мы должны отметить, что никто официально не подтвердил, откуда пришли украденные данные, но мы пойдем с этими тремя провайдерами, чтобы проиллюстрировать, насколько важно думать о том, какой адрес электронной почты вы используете при регистрации. онлайн аккаунт.

Chegg предлагает услуги в сфере образования, и вы можете увидеть, как студент может использовать свой адрес электронной почты Мичиганского университета для регистрации учетной записи Chegg. LinkedIn - самая популярная в мире профессиональная социальная сеть, и вы также можете обосновать связь профиля с адресом @umich.edu.

Zynga, с другой стороны, является разработчиком онлайн-игр. Он просит вас зарегистрироваться, чтобы вы могли обрабатывать виртуальные овощи или решать онлайн кроссворды. Использование университетского адреса электронной почты для создания учетной записи такого типа просто не кажется правильным, и, как вы можете видеть, это также может поставить под угрозу вашу безопасность в Интернете.

Необходимость манипулирования таким количеством онлайн-аккаунтов привела некоторых людей к мысли, что мы полностью утратили контроль над нашими данными. Это верно только в определенной степени. Когда нам нужно общаться с людьми, которые могут определить наше будущее, нам нужно использовать официальные адреса электронной почты. С другой стороны, когда мы ожидаем обновления от мобильной игры, которая тратит время, нам, вероятно, лучше использовать одноразовое электронное письмо, о котором мы не слишком заботимся. В конце концов, мы не должны забывать, что имя пользователя и пароль должны быть идентичны, если атака с использованием учетных данных должна работать.