University of Michigan skyller lösenordsläckor för dataöverföringar från tredje part

På fredag varades studenter vid University of Michigan (UM) om en lista med inloggningsuppgifter som svävade runt. Filen distribuerades fritt, och den innehöll verkligen tiotusentals par @umich.edu e-postadresser och vanliga lösenord. Några av studenterna tittade på listan och de var rädda för att få reda på att deras inloggningsuppgifter var giltiga. Förutsägbart lade de initialt skulden på UM: s tröskel, men det visade sig senare att institutionen inte var ansvarig för läckan på något sätt. Det visade sig faktiskt att det var studenterna som kunde ha gjort mycket mer för att skydda sig.

Inloggningsdata läckte ut vid oberoende överträdelser

Strax efter att listorna blev offentliga utfärdade University of Michigan en officiell rådgivande förklaring att de läckta e-postadresserna och lösenorden kom från tredjepartsdata. Universitetet försäkrade sina studenter att dess system inte har äventyrats och meddelade att det kommer att återställa lösenord om det ser en verklig fara för obehörig åtkomst.

Efter att ha klargjort vad som hänt exakt gav rådgivningen eleverna några tips om hur man kan öka deras övergripande online-säkerhet. Det måste sägas att om eleverna hade följt dessa tips innan listan med lösenord publicerades, skulle rådgivningen ha varit helt onödig.

Hur UM: s studenter utsätter sig för fara

Listan med användarnamn och lösenord sätter UM: s studenter en mycket verklig risk för referensstoppningsattacker. För er som inte vet, i en referensstoppattack tar hackare en stor lista med användarnamn och lösenord som stulits från en tjänst och testa dem mot flera andra. De hoppas att många använder samma referenser på många olika webbplatser, och det faktum att referensstoppning anses allmänt vara det bästa sättet att kompromissa med ett stort antal konton med minimal ansträngning visar att deras insats vanligtvis lönar sig.

Det är allmänt känt att det enda sättet att stoppa referensstoppningsattacker är att stoppa återanvändning av lösenord, men det är tydligt att detta är lättare sagt än gjort. Det finns därför tvåfaktorsautentisering.

University of Michigan har tänkt på sina studenters säkerhet, och det har implementerat ett system som kräver att användaren ska svara på ett samtal, ange en kod eller trycka på en push-meddelande för att logga in med framgång. Tyvärr är det inte aktiverat som standard, och det är svårt att säga hur många av de drabbade studenterna som använder den.

Vi bör förmodligen beröra frågan om var informationen kommer från också. I sin rådgivande nämnde University of Michigan tre leverantörer av onlinetjänster som har kränkts tidigare och kunde ha fungerat som källan till de läckta e-postadresserna och lösenorden: Chegg, LinkedIn och Zynga. Vi bör påpeka att ingen officiellt har bekräftat var de stulna uppgifterna kommer från, men vi kommer att gå med dessa tre leverantörer för att illustrera poängen till hur viktigt det är att tänka på vilken e-postadress du använder när du registrerar dig ett online-konto.

Chegg erbjuder tjänster inom utbildningsområdet, och du kan se hur en student kan använda sin University of Michigan e-postadress för att registrera sig för ett Chegg-konto. LinkedIn är världens mest populära professionella sociala nätverk, och du kan också kunna motivera att du kopplar en profil där till en @umich.edu-adress.

Zynga, å andra sidan, är en utvecklare av onlinespel. Den ber dig registrera dig så att du kan odla virtuella grönsaker eller lösa korsord online. Att använda en universitets e-postadress för att skapa den här typen av konto verkar bara inte vara rätt sak att göra, och som ni ser kan det också riskera din online-säkerhet.

Behovet av att jonglera så många onlinekonton har fått vissa att tro att vi helt har tappat kontrollen över våra uppgifter. Detta gäller bara i viss utsträckning. När vi behöver kommunicera med människor som är i stånd att forma vår framtid, måste vi använda officiella e-postadresser. Å andra sidan, när vi förväntar oss uppdateringar från ett tidsförlorande mobilspel, är vi förmodligen bättre med att använda ett kast-e-postmeddelande som vi inte bryr oss så mycket om. Vi får ju inte glömma att både användarnamnet och lösenordet måste vara identiska om en referensstoppningsattack ska fungera.