Under 2012 hackades LinkedIn av en okänd rysk enhet och sex miljoner användaruppgifter lekades online. Fyra år senare har det visat sig att hack var mycket värre än vad vi förutsåg. I en rapport som publicerats av Vice moderkort har en hackare, som heter Peace, sålt 117 miljoner LinkedIn-uppgifter på Dark webben för cirka $ 2 200 i Bitcoin.
Medan detta avsnitt är en fortsatt huvudvärk för LinkedIn, blir det oundvikligt sämre för de tusentals användare vars data har blivit sprutade online. Att hjälpa mig att göra det är Kevin Shabazi; en ledande säkerhetsexpert, och VD och grundare av LogMeOnce.
Förstå LinkedIn Läckage: Hur illa är det verkligen?
Sittande med Kevin var det första han gjorde att betona enorma läckage. "Om siffran på 117 miljoner läckta referenser verkar se gigantiska ut, måste du omgruppera dig själv. Under första kvartalet 2012 hade LinkedIn totalt 161 miljoner medlemmar. Det betyder att hackare vid den tiden inte bara tog 117 miljoner poster. "
"I själva verket tog de bort hela 73% av Linkedins hela databas med medlemskap."
Dessa siffror talar för sig själva. Om du mäter uppgifterna rent i form av dokument som läckt jämförs det med andra stora namnhackar, som PlayStation Network läckage 2011 eller Ashley Madison läckan från förra året. 3 Anledningar till att Ashley Madison Hack är en allvarlig affär Varför Ashley Madison Hack är en allvarlig angelägenhet Internet verkar extatisk om Ashley Madison hack, med miljontals äktenskapsbrott och potentiella äktenskapsinformation detaljer hackade och släpptes på nätet, med artiklar utflyttning personer som finns i datadumpen. Hilarious, eller hur? Inte så fort. Läs mer . Kevin var ivrig att betona att detta hack är ett fundamentalt annorlunda djur. För medan PSN-hacket var rent för att erhålla kreditkortsinformation, och Ashley Madison-hacket skulle utgöra en skam för företaget och dess användare, kopplade LinkedIn hack " ett företagsinriktat socialt nätverk till missförhållanden". Det kan leda till att människor ifrågasätter integriteten hos deras interaktioner på webbplatsen. Detta, för LinkedIn, kan visa sig vara dödligt.
Speciellt när innehållet i datadumpen väcker allvarliga frågor om företagets säkerhetspolicy. Den ursprungliga dumpningen innehöll användaruppgifter, men enligt Kevin krypterades inte användaruppgifterna korrekt.
"LinkedIn ska ha använt ett hash och salt för varje lösenord som innebär att man lägger till några slumpmässiga tecken. Denna dynamiska variant lägger till ett tidselement i lösenordet, att om det blir stulet kommer användarna att ha gott om tid att ändra det. "
Jag ville veta varför angriparna hade väntat i upp till fyra år innan de läckte den till den mörka banan. Kevin erkände att angriparna hade visat mycket tålamod i att sälja den, men det var troligt för att de experimenterade med det. "Du borde anta att de kodade runt det samtidigt som man utvecklade matematiska sannolikheter för att studera och förstå användarens trender, beteende och slutligen lösenordsbeteenden. Föreställ dig nivån av noggrannhet om du skickar 117.000.000 faktiska insatser för att skapa en kurva och studera ett fenomen! "
Kevin sa också att det är troligt att de läckta referenserna användes för att kompromissa med andra tjänster, som Facebook och e-postkonton.
Kevin är förståeligt kritiskt för LinkedIns svar på läckan. Han beskrev det som "helt enkelt otillräckligt". Hans största klagomål är att bolaget inte varnar sina användare till breechskalan när det hände. Transparens, säger han, är viktigt.
Han beklagar också att LinkedIn inte gjorde några praktiska steg för att skydda sina användare, när läckan hände. "Om LinkedIn hade vidtagit korrigerande åtgärder sedan då, tvingat en lösenordsbyte och sedan arbetat med användarna för att utbilda dem om bästa säkerhetsmetoder, så skulle det ha varit OK". Kevin säger att om LinkedIn använde läckan som ett tillfälle att utbilda sina användare om behovet av att skapa starka lösenord Hur man genererar starka lösenord som matchar din personlighet Hur man genererar starka lösenord som matchar din personlighet Utan ett starkt lösenord kan du snabbt hitta dig själv på det mottagande slutet av ett cyberbrott. Ett sätt att skapa ett minnesvärt lösenord kan vara att matcha det med din personlighet. Läs mer som inte återvinns, och förnyas var 90: e dag, dumpningen skulle ha mindre värde idag.
Vad kan användarna göra för att skydda sig själva?
Kevin rekommenderar inte att användarna tar till Dark Web Journey Into The Hidden Web: En guide för ny forskare resa till det dolda nätet: En guide för nya forskare Den här handboken tar dig på en rundtur genom de många nivåerna på den djupa vägen : databaser och information tillgänglig i akademiska tidskrifter. Slutligen kommer vi fram till Tors portar. Läs mer för att se om de är i dumpningen. Faktum är att han säger att det inte finns någon anledning för en användare att bekräfta om de har påverkats alls. Enligt Kevin bör alla användare vidta beslutsamma åtgärder för att skydda sig själva.
Det är värt att lägga till att LinkedIn läckaget nästan kommer att hitta sin väg till Troy Hunt's Punch, där användarna säkert kan kontrollera sin status.
Så vad ska du göra? För det första säger han att användarna ska logga ut från sina LinkedIn-konton på alla anslutna enheter och på en enhet ändra sitt lösenord. Gör det starkt. Han rekommenderar att folk genererar sina lösenord med hjälp av en slumpmässig lösenordsgenerator 5 sätt att skapa säkra lösenord på Linux 5 sätt att skapa säkra lösenord på Linux Det är viktigt att använda starka lösenord för dina online-konton. Utan ett säkert lösenord är det enkelt för andra att knäcka dina. Du kan dock få din dator att välja en för dig. Läs mer .
Visserligen är det långa, oväldiga lösenord, och det är svårt för människor att memorera. Detta, säger han, är inte ett problem om du använder en lösenordshanterare. "Det finns flera fria och välrenommerade, inklusive LogMeOnce."
Han betonar att det är viktigt att du väljer rätt lösenordshanterare. "Välj en lösenordshanterare som använder" injektion "för att infoga lösenord i rätt fält snarare än att bara kopiera och klistra in från urklippet. Detta hjälper dig att undvika hackattacker via keyloggers. "
Kevin betonar också vikten av att använda ett starkt huvudlösenord på lösenordshanteraren.
"Välj ett huvudlösenord som är mer än 12 tecken. Detta är nyckeln till ditt rike. Använd en fras för att komma ihåg som "$ _I Love BaseBall $". Det tar ungefär 5 Septillion år att vara knäckt "
Människor bör också hålla sig till säkerhets bästa praxis. Detta inkluderar användningen av tvåfaktors autentisering Lås ned dessa tjänster Nu med tvåfaktorautentiseringslås ner dessa tjänster nu med tvåfaktorsautentisering Tvåfaktorsautentisering är smart sätt att skydda dina onlinekonton. Låt oss ta en titt på några av de tjänster du kan locka ner med bättre säkerhet. Läs mer . "Tvåfaktorautentisering (2FA) är en säkerhetsmetod som kräver att användaren tillhandahåller två lager eller identifieringsdelar. Det betyder att du kommer att skydda dina uppgifter med två lager av försvar - något som du vet (ett lösenord) och något du har (en engångstoken) ".
Slutligen rekommenderar Kevin att LinkedIn-användare meddelar alla i sitt nätverk av hacken, så att de också kan vidta skyddsåtgärder.
En pågående huvudvärk
Läckan av över hundra miljoner poster från Linkedins databas utgör ett pågående problem för ett företag vars rykte har blivit smittat av andra högprofilerade säkerhetsskandaler. Vad som händer nästa är någons gissning.
Om vi använder PSN- och Ashley Madison-hackarna som våra vägkartor, kan vi förvänta oss att cyberkriminella inte är relaterade till det ursprungliga hacket för att dra nytta av de läckta uppgifterna och använda den för att utpressa drabbade användare. Vi kan också förvänta LinkedIn att groveling be om ursäkt till sina användare, och erbjuda dem något - kanske pengar, eller mer sannolikt en premiekreditkredit - som ett tecken på förskingring. Hur som helst måste användarna vara beredda på det värsta och vidta proaktiva åtgärder. Skydda dig själv med en årlig säkerhet och sekretesskontroll. Skydda dig själv med en årlig säkerhets- och sekretesskontroll. Vi är nästan två månader in i det nya året, men det är fortfarande dags att göra en positiv upplösning. Glöm inte att dricka mindre koffein - vi pratar om att vidta åtgärder för att skydda onlinesäkerhet och integritet. Läs mer för att skydda sig.
Bildkredit: Sarah Joy via Flickr