LinkedIn, eHarmony befasst sich mit den Folgen von Sicherheitsverletzungen

Es ist Zeit, Ihre LinkedIn-Passwörter zu ändern.

Das Unternehmen bestätigte am Mittwoch, dass es von einer Sicherheitsverletzung betroffen war, und schickte E-Mails an die betroffenen Benutzer. Sicherheitsexperten schätzen, dass mehr als sechs Millionen Passwörter der 160 Millionen LinkedIn-Nutzer von der Sicherheitsverletzung betroffen waren, basierend auf den Dateien, die auf Hacker-Sites gepostet wurden und um Hilfe beim Knacken der Verschlüsselung der Passwörter bitten.

Die Dating-Site eHarmony wurde ebenfalls von einem Sicherheitsverstoß betroffen, teilte das Unternehmen auf seiner Website mit – laut a . wurden rund 1,5 Millionen Passwörter gestohlen Bericht von Ars Technica.

Über den Angriff selbst wurden nur wenige Details bekannt gegeben, und die Unternehmen gaben an, die Situation weiterhin zu untersuchen.

Es ist eine gute Erinnerung für alle, über die Passwortsicherheit nachzudenken, insbesondere wenn Sie ein Risiko eingehen, indem Sie dasselbe Passwort für mehrere Konten verwenden. Hackern macht man es beispielsweise sehr leicht, wenn man sich mit einem Google- oder Yahoo-Account bei LinkedIn einloggt und auch Passwörter zwischen diesen Seiten teilt.

Der Leiter des Webspam-Teams von Google, Matt Cutts, warnte seine Twitter-Follower, dass die Verwendung desselben Passworts für mehrere Konten am Mittwoch zu Problemen führen könnte.



„Das gleiche Passwort für LinkedIn und Gmail verwenden?“ er schrieb. 'Ich würde beide sofort wechseln.'

Websites wie LinkedIn und eHarmony sind Hauptziele für Kriminelle. Böse Hacker suchen nach Wegen, wie sie mit relativ geringem Aufwand auf einen Schatz persönlicher Daten zugreifen können, sagte Sicherheitsexperte Hemanshu Nigam von der Sicherheitsberatungsfirma SPP Blue.

Insbesondere LinkedIn kann für Hacker attraktiv sein, da die professionellen Informationen, die sie von der Website stehlen können, leicht für gefälschte E-Mail-Phishing-Betrug verwendet werden können.

„Ich denke, die Leute erkennen oft nicht den extremen Wert professioneller Informationen“, sagte Nigam. Da die E-Mails von einem Geschäftspartner oder einfach von einem vertrauenswürdigen Domänennamen stammen, sagte Nigam: „Die Vertrauenswürdigkeit in diesen Einstellungen ist viel höher als im offenen Internet.“

Es war eine harte Woche für LinkedIn, da das Unternehmen ein Datenschutzproblem ansprach, nur um in ein anderes überzugehen. Vor dem Angriff hatte LinkedIn ein separates Datenschutzproblem angesprochen: Forscher fanden heraus, dass das Unternehmen mehr Daten aus Smartphone-Kalender-Apps entnahm, als in seinen Nutzungsbedingungen angegeben. Das Unternehmen hatte alle Informationen in einigen Kalenderereignissen an seine Server gesendet, um sie mit der LinkedIn-App auf den Telefonen der Benutzer zu synchronisieren.

Entdeckt wurde der Datenschlürf von den Sicherheitsforschern Adi Sharabani und Yair Amit. Sharabani sagte, es sei ein Beispiel für ein gutes Feature, das nicht genug durchdacht wurde.

„Es ist eine großartige Funktion“, sagte Sharabani. 'Das größte Problem ist, dass sie es getan haben, ohne es dem Benutzer zu sagen.'

Er war besonders besorgt, dass die Server von LinkedIn Daten aus Kalenderbesprechungsnotizen erhielten, die Dinge wie Einwahlnummern und Passwörter enthalten könnten. LinkedIn sagte am Mittwoch, dass es die Notizdaten nicht mehr an seine Server senden werde.

Die Forscher waren erfreut, dass das Unternehmen so schnell auf ihre Forschung reagiert hat, würden aber dennoch gerne sehen, dass das Unternehmen einige Änderungen an seinen Richtlinien vornimmt, um personenbezogene Daten vor Personen, die keine LinkedIn-Mitglieder sind, weiter zu schützen, wie E-Mail-Adressen, können weiterhin in den Feldern enthalten sein, die das Unternehmen an seine Server sendet.

Er fügte hinzu, dass der Verstoß deutlich macht, warum Unternehmen sich darüber im Klaren sein müssen, welche Daten sie sammeln, und Verbrauchern mehr Kontrolle über ihre Daten geben sollten.

„Ich vermute [LinkedIn] nicht, dies absichtlich und böswillig zu tun, aber es ist nicht nur LinkedIn, um das ich mir Sorgen mache. Jetzt muss man auch den Leuten vertrauen, die in die Server von LinkedIn eingebrochen sind – und ich nicht“, sagte er.

Nigam sagte, dass LinkedIn ein gutes Beispiel für ein Unternehmen ist, das schneller als erwartet gewachsen ist und daher möglicherweise nicht bei jedem Schritt an die Sicherheit gedacht hat. Die Tatsache, dass die entnommenen Passwörter gehasht wurden – ein kryptografischer Prozess, der die Passwörter verschleiert – zeigt, dass LinkedIn sich Gedanken über den Datenschutz gemacht hat.

„Wenn man darüber nachdenkt, wenn Unternehmen leise und fast unter dem Radar wachsen, wie es LinkedIn in den letzten Jahren getan hat, ist manchmal ein Sicherheitsproblem das, was ein Unternehmen braucht, um Sicherheit und Datenschutz äußerst ernst zu nehmen“, sagte Nigam.

Er sagte, LinkedIn sollte den Weckruf nutzen, um sorgfältig zu prüfen, wie seine Daten geschützt sind, welche Daten es sammelt und wie dies alles mit seinen Nutzungsbedingungen übereinstimmt.

Er sagte auch, dass das Unternehmen als Teil seines Designprozesses über Sicherheit und Datenschutz nachdenken muss, um Angriffe wie diesen in Zukunft abzuwehren, insbesondere da politische Entscheidungsträger auf Datenschutzgesetze drängen. Wenn sie mit ihren Daten zu viel Aufwand machen können, sagte er, werden Kriminelle woanders hingehen.

„Sie können immer noch ein großartiges Produkt herstellen, das Regierungsbeamten gefällt – und von dem Hacker gelangweilt sind“, sagte Nigam.

Ähnliche Beiträge:

AP: Einige LinkedIn-Passwörter wurden gestohlen und sind online durchgesickert; Benutzer sollten Passwörter ändern

Post Tech: LinkedIn bestätigt Datenschutzverletzung