Var ditt Vimeo-konto frusen? Här är varför

Det är säkert att säga att individer ska vara ansvariga för sin egen säkerhet och bära konsekvenserna när de inte tar tillräckligt allvarligt med denna uppgift. Ändå förtjänar onlinetjänsteleverantörer som vidtar proaktiva åtgärder för att skydda sina användare definitivt ett ordspråkigt baksida. Med det sagt är det förmodligen lika viktigt att kommunicera sina handlingar med användarna som själva handlingarna, och tyvärr är det här saker som ibland inte går så bra som alla hoppas. Video-delningsplattform Vimeo till exempel visade oss hur säkerhetsinitiativ som inte är väl förklarade kan orsaka mycket förvirring.

"Frozen" -konton lämnar Vimeo-användare som kliar i huvudet

Förra veckan insåg vissa Vimeo-kontoägare att de inte kunde logga in på videopubliceringsplattformen. David Smith, en läsare av infosec-tidskriften The Register, förklarade att han fick ett meddelande som berättade för honom att "en främling" hade åtkomst till hans konto och att för att skydda honom hade Vimeo beslutat att frysa profilen. Det här scenariot är inte så ovanligt som du kanske tror, och även om vi talar om obehörig åtkomst, betyder det inte nödvändigtvis att onlinetjänsten (i detta fall Vimeo) har äventyrats.

Credential stuffing blir mer och mer populärt bland cyberbrottslingar. I det tar skurkar en databas med användarnamn och lösenord som stulits från en webbplats (t.ex. en diskussionstavla online) och prova dem mot en annan plattform (t.ex. Facebook). Eftersom så många människor använder samma inloggningsuppgifter på flera webbplatser kan ganska många Facebook-profiler äventyras trots att det sociala nätverket inte har riktats in av hackare.

En del statistik som nyligen publicerats av Microsoft visade att lösenordssprejning är ganska vanligt idag. I en lösenordssprutad attack tar skurkarna en lista över kända användarnamn och parar dem ihop med några vanligt använda, lätt att gissa lösenord. Återigen innebär människors tendens att använda samma svaga lösenord att cyberbrottslingar kan bryta in i användarnas konton med relativt enkelhet.

Vimeo sa att skadlig kod hade stulit användarnas referenser

David Smith visste att han inte hade blivit riktad av en referensstoppattack, och han var också ganska säker på att sprutning av lösenord inte var inblandad. Han var säker på att något annat var frågan eftersom han, till skillnad från många människor, använde ett unikt, slumpmässigt genererat lösenord för sitt Vimeo-konto.

Förvirrad räckte han till The Register i ett försök att förstå vad som hade hänt. Journalisterna var inte klokare, men de kontaktade Vimeo, och plattformsdelningsplattformen avslöjade äntligen vad som egentligen pågår. En representant berättade för The Register att Vimeos säkerhetsteam hade hittat "en lista över komprometterade e-post- och lösenordskombinationer som fångats från skadlig programvara." Hur de hittade dem förblir okänt, men de kontrollerade dem och insåg att åtminstone en del av uppgifterna var giltiga. För att skydda användare blockerade de åtkomsten till de berörda kontona.

Det är inte klart hur lättillgängliga de stulna referenserna var, men det är säkert att säga att det oavsett omständigheterna, att frysa kontona var rätt sak att göra. Det som dock inte är helt klart är varför Vimeo gjorde det utan att informera användare och resten av världen om det. Till och med nu, efter att berättelsen hittat vägen till The Register: s veckovisa nyheter, har Vimeo inte avslöjat några specifika detaljer genom de vanliga informationskanalerna, vilket innebär att vissa användare fortfarande känner till vad som händer. De kanske inte vet att de borde skanna sina enheter efter skadlig programvara och ändra lösenord heller.

Åtgärder som detta är tänkta att säkerställa människors förtroende för tjänsteleverantören, men när de inte förklaras korrekt kan de ha motsatt effekt. Förhoppningsvis fortsätter vi att se on-line plattformar ta hand om sina användare, och vi kommer också att se en mer transparent hantering av säkerhetsincidenter.