Yahoo Breach Muhtemelen Kredi Kartlarını Ödün Vermez
Justice Department announces charges tied to Yahoo breach
İçindekiler:
Şifre değiştirme zamanı tekrar.
Yahoo’nun “devlet destekli bir aktörün” potansiyel olarak gizli şifreler de dahil olmak üzere veri çalma potansiyeline sahip olduğunu duyurması, 2014’ün sonlarında yarım milyar hesaptan, açıklanan en büyük güvenlik ihlallerinden birini temsil ediyor. “İyi” haberler - eğer bunu söyleyebilirsek - Yahoo’nun açıklamasına göre, şifrelerin gizlendiği ve hack’in doğrudan kredi kartları veya banka hesaplarına sahip olmadığı anlaşılıyor.
Kredi kartı hesapları muhtemelen etkilenmeyecek. Ancak “muhtemelen”, “kesinlikle” değildir. Parolaları birden çok sitede yeniden kullanma eğiliminde iseniz, şimdi durma zamanı ve bu parolaları değiştirme zamanı. Ve Yahoo hala insanları kredi raporlarını kontrol etmeye teşvik ediyor.
Başka Hedef Değil
“Veri ihlali” sesini duyduğunuzda, 2013'te Hedefe ne olduğunu düşünebilirsiniz. Yaklaşık 70 milyon müşteri etkilendi ve daha da kötüsü - 40 milyon kredi kartı numarası çalındı. Milyonlarca müşteri, sonuç olarak kartlarında hileli etkinlik hakkında endişelenmek zorunda kaldı.
Yahoo ihlali, Hedef olanın kabaca yedi katıdır, ancak etkilenen tüketiciler için yedi kat daha kötü değildir.
Fark, çalınanlarla ilgili. Yahoo'nun durumunda, çalınan bilgiler, şirketten gelen bir habere göre, isimleri, e-posta adreslerini, telefon numaralarını, doğum tarihlerini, gizli şifreleri ve bazı durumlarda güvenlik sorularını ve cevapları şifrelenmemiş ve şifreli olarak içeriyordu. Yahoo ayrıca devam eden soruşturmanın “çalınan bilginin korunmasız şifreler, ödeme kartı verileri veya banka hesap bilgileri içermediğini” öne sürüyor.
Yahoo'ya göre parolalar da “hashed” idi. Bu, Yahoo'ya göre, orijinal bir veri dizisini, görünüşte rastgele bir karakter dizisine dönüştüren matematiksel bir işlevden geçtikleri anlamına geliyor.
Potansiyel bir saldırının belirtileri, bu yaz başlarında, “karanlık web” üzerinde ortaya çıktı. Bu, arama motorları tarafından erişilemeyen, yasadışı işlemlerin fark edilmeden ulaşabileceği bir yer. Bir hacker, sözde 200 bitlik Yahoo hesabını 3 bitcoins veya yaklaşık 1.860 dolar olan Anakart'ın Ağustos ayında rapor ettiğini iddia etmeye çalıştı. Bu, ucuz tarafta, eğer dünya çapındaki bankalar için giriş bilgilerinin, Trend Micro'nun beyaz kitabına göre, bu gibi pazarlardaki “hesap başına 200 ABD Doları ile 500 ABD Doları arasında” olduğunu düşünürseniz.
Neler olabilir
Yahoo ihlalinde çalınan kimlik bilgileri, şifreler gizlendiği sürece bu kadar değerli değildir. Ancak, bilgisayar korsanlarının düşündüğümüzden daha fazla bilgiyi daha fazla bilgi toplayabilecekleri konusunda hala bir risk var.
Örneğin şifreleri alın. Şifreler karma olduğunda, aslında işe yaramazlar. Ancak bilgisayar korsanlarının bu şifreleri “haksızlığa uğratması” mümkün, diyor Javelin Strateji & Araştırma'da kıdemli başkan yardımcısı ve dolandırıcılık ve güvenlik sorumlusu Al Pascual.
Pascual, “Şifreleri kırmak için tasarlanan Hashcat ve John the Ripper gibi yazılımlar var” diyor. “Zaman alır ve gücü işler, hatta her şifre genellikle şifresiz değildir.”
Bilgisayar korsanları şifrelerin bazılarını rahatsız etmede başarılı olsaydı, bu şifrelerin nerede çalıştığını görmek için olabildiğince çok web sitesini vurmak için komut dosyaları çalıştırabilirler. Bu, her hesap için aynı şifreyi kullanan tüketicileri etkileyebilir.
Bu başarılı olsa bile, bilgisayar korsanları muhtemelen mali hesaplarınıza ulaşamayacaklardı. Büyük bankalar ve yayıncılar, birden fazla başarısız oturum açma girişimi sonrasında kullanıcıları kilitleyen güvenlik yazılımlarına sahiptir. Ancak, Pascual bazı küçük ihraççıların bu kapasiteye sahip olmadığını söylüyor.
Kimlik avı dolandırıcılığı, ihlalin bir başka potansiyel sonucudur ve Yahoo'nun beklediği bir sonuçtur. Şirket, ihlalden etkilenen kişilere gönderdiği e-postanın "herhangi bir bağlantıyı tıklatmanızı veya ekleri içermemenizi ve kişisel bilgilerinizi istememenizi istemez" (e-dolandırıcılık e-postalarında ortak taktik olan istekleri) olduğunu vurguladı. Kredi kartı bilgileriniz, Yahoo ihlalinden doğrudan etkilenmeyebilir, ancak e-posta yoluyla Yahoo gibi davranan birine giriş bilgilerinizi vermeniz durumunda, bu durum tehlikeye girebilir.
" DAHA: Crooks kredi kartı puanlarınızı istiyor
Bununla ilgili ne yapmalı?
Yahoo’dan ihlalden etkilendiğini bildiren bir bildirim aldıysanız, kredi kartlarınızdaki ve diğer hesaplarınızdaki olası sahtekarlığa karşı korumak için yapabileceğiniz üç şey vardır:
- Şifrelerinizi değiştirin. Pascual, "İnsanlar kesinlikle yapmaları gerekmedikçe şifrelerini güncelleme eğiliminde değiller." Diyor. Hackerlar bunun büyük bir fırsat olduğunu görüyorlar. Dolayısıyla, tüm hesaplarınız için aynı şifreyi kullanırsanız, Yahoo şifrenizi güncellemeyin - diğer şifrelerinizi de güncelleyin. En azından, kredi kartınızda ve banka hesaplarınızda kullandığınız şifrelerin, 1999'da altıncı sınıflar tarafından tasarlandıkları gibi görünen web sitelerinde kullandığınız adlarla aynı olmadığından emin olun.
- E-postaları dikkatlice okuyun. Yahoo'dan veya herhangi bir şirketten gelen bir parola, kullanıcı adı veya başka bir kişisel bilgi vermenizi isterlerse veya bir bağlantıyı tıklatmanız istenirse, e-postalara yanıt vermeyin.Dolandırıcılar, şüpheli olmayan tüketicilerden değerli bilgiler almak için bu gibi acil sesli e-postalar kullanırlar.
- Kredi raporunuzu ve mali hesaplarınızı kontrol edin. Yahoo’nun ihlali finansal verileri içermese de, şirketten gelen bir açıklamaya göre “hesap ekstrelerini inceleyerek ve kredi raporlarınızı izleyerek ihtiyatlı olmanızı öneririz”.
Üç önemli kredi bürosunun her birinden yılda bir kez ücretsiz kredi raporu alabilirsiniz: Experian, Equifax ve TransUnion. AnnualCreditReport.com adresine gidin. Kredi kartı hesabınızda sahtekarlık belirtileri tespit ederseniz - bilmedik satın alımlar - yayıncıyı hemen arayın ve bildirin. Yasa, banka hesap sahtekarlığı ve kredi kartı sahtekarlığı konusunda mali sorumluluğunuzu keskin bir şekilde sınırlar. Kredi kartınız bu ihlalden dolaylı olarak etkilense bile, muhtemelen bunun için ödeme yapmanız gerekmeyecektir.
Claire Tsosie, kişisel finans sitesi olan Investmentmatome'de çalışan bir yazardır. Email: [email protected]. Twitter: @ ideclaire7.