Uživatelé populárního seznamovacího webu OkCupid
si stěžovali
hackerů, kteří převzali svůj účet, je zamkli změnou přidružené e -mailové adresy a hesla a pomocí informací získaných z účtu je obtěžovali je.
Mluvčí společnosti však uvedl, že nedošlo k žádnému zvýšení převzetí účtu a žádné porušení bezpečnosti na OkCupid.
Co se stalo?
Pokud jsou ujištění OkCupida platná, je pravděpodobné vysvětlení únosu účtu, že útočníci používají přihlašovací údaje ukradené z jiných webů pro přístup k účtům OkCupid.
„Pokud používáte stejné heslo na několika různých webech nebo službách, pak vaše účty na všech z nich mají potenciál převzít, pokud jeden web má narušení bezpečnosti.Seznamy včetně vaší e -mailové adresy a hesel mohou být prodány špatným hercům, kteří vyzkoušejí vaše heslo na mnoha různých webech, dokud nenajdou ten, který funguje, “společnost
vysvětluje
na jeho podpůrných stránkách.
Doporučují uživatelům používat heslo jedinečné pro OkCupid, používat kombinaci písmen, čísel, kapitalizace a symbolů pro něj a dlouho to provést.
Více rad pro uživatele
"Souhlasím se všemi nabízenými radami OKCUPID.".Uživatelé by měli mít jedinečná hesla pro každý web, nebo přinejmenším, mít jedinečné heslo pro každý web, na čem vám něco záleží.Měli byste přinejmenším zvážit jedinečná hesla pro věci, které vám ztěžují váš život, “řekl Terry Ray, Imperva SVP a kolega, řekl Help Net Security.
„Správci hesel jsou k dispozici - někteří zdarma a někteří za poplatek, někteří pro váš počítač, někteří pro mobilní telefon a některé pro obou - takže není žádný skutečný důvod, proč je nepoužívat.Ano, může být velmi otravné, že vaše heslo neznáte a musíte to vyhledat, ale je více nepříjemné, aby váš účet napadl.“
Rovněž poukázal na to, že rada o změně hesla na Tomothing Unique neznamená použití hesla1, hesla2, hesla3 atd. Pro různé účty.
"Použijte dopisy a čísla v Rýmech školky:" HDS4TON4W@LL, "pro Humpty Dumpty seděl na zdi.Ať funguje cokoli, vložte je do správce hesel a přejděte na další web.“
Nakonec doporučil používat 2-faktorovou ověřování, pokud je to možné.
„Testování uživatelských jmen a hesel ze seznamu je automatizovaný proces.Je to levné, rychlé a snadné pro útočníky provádět. Two-factor authentication helps for sure and I encourage its use, but not every website supports it yet,“ he concluded.
Bohužel pro uživatele OkCupid web stále neposkytuje možnost.
Poradenství pro majitele a administrátory webových stránek
Tim Mackey, seniorský technický evangelista v Synopsys, poukázal na to, že únosy účtu vyhazují světlo na klíčový problém, kterému čelíme s správou účtu a identity: Webové stránky často používají e -mailovou adresu jako formu identifikace, ale tuto e -mailovou adresu na žádnou neověřují tuto e -mailovou adresubod během životního cyklu účtu.
„Z hlášených odpovědí OkCupid na dotazy se zdá, že e -mailová adresa uživatele je jejich primární formou identifikátoru účtu. Given that users can change email addresses, that email addresses may no longer become valid (say as the result of a provider shutting down), and that email is an insecure form of communication, the use of email as a primary form of identification is problematic from the outset,“ he explained.
„I když je pro OkCupida pravděpodobně poněkud obtížné vyřešit používání e -mailu jako identifikátoru, existuje některé osvědčené postupy, které by každá organizace, která se snažila používat e -mail v jejich aplikacích, by měla zvážit.
1.
Souhlas je klíčový.
Nepředpokládejte, že uživatel správně zadal platnou e -mailovou adresu.Pokud nemohou prostřednictvím e -mailu potvrdit, že obdrželi potvrzovací e -mail, pravděpodobně neobdrží žádné jiné zprávy.Horší je, že pokud to nedokážou potvrdit, pak možná k nim e -mailová adresa nepatří a možná jste unikli osobní údaje o tomto uživateli, který možná udělal nic vážnějšího než překlepy své e -mailové adresy ve formuláři.
2.
Souhlas je klíčový – again.
Při změně e -mailové adresy nepředpokládejte, že uživatel provede změnu zadán správnou e -mailovou adresu.Potvrďte svou adresu novou e -mailovou adresou a poté pouze jednou potvrdili změnu z předchozího.Také pošlete potvrzovací e -mail pro tuto operaci na starou adresu.Tímto způsobem, pokud by měl dojít k převzetí účtu, měl by legitimní uživatel příležitost tento problém identifikovat.
3.
Vezměte si nárok na podvody s identitou vážně.
Pokud někdo tvrdí, že jejich účet byl převzat, pomozte jim při jejich zotavení, pokud má přístup k některému z předchozích komunikačních režimů.
4.
Udržujte protokol použitých předchozích identifikačních režimů.
Pokud někdo změní svou e -mailovou adresu, jednoduše nepřekračujte starou hodnotu s novou.Uchovávejte, že k této akci došlo.Krádež identity se může objevit u všech vlastností webu a podniky nejsou postaveny s frustrovanými uživateli.“
Denní zpravodaj
- E-mail zaslaný každý pracovní den s rekapitulací posledních 24 hodin
Týdenní zpravodaj
- E-mail zaslaný každé pondělí s rekapitulací posledních 7 dnů
(In) Zabezpečit časopis
- E-mail zaslaný, když je vydán nový problém
I have read and agree to the terms & conditions
Přihlásit se
Nechte toto pole prázdné, pokud jste člověk: