Nous avons tous entendu le conseil souvent répété affirmant que demander à vos utilisateurs de changer leur mot de passe tous les six mois contribuera à garantir la sécurité et l'activité de leurs comptes, mais la triste vérité est que les groupes malveillants sur le Web sont devenus plus sophistiqués dans leur quête d'informations précieuses. données personnelles. Presque rien n'illustre ce fait malheureux que les dernières nouvelles dans le Yahoo! Saga des failles de sécurité.
Depuis cette semaine, Yahoo! Les dirigeants ont annoncé qu'ils avaient découvert que les violations qu'ils avaient initialement signalées en 2016 avaient une portée considérablement plus importante qu'ils ne l'avaient initialement pensé. Dans cette mise à jour, qui est la troisième depuis l'annonce initiale en 2016, Yahoo! ont annoncé qu'ils pensaient désormais que chacun de leurs 3 milliards de comptes d'utilisateurs avait été compromis. Le Yahoo! est devenue la pire faille de sécurité de l'histoire d'Internet en 2016, et à chaque mise à jour, elle a rendu ce record encore plus remarquable.
A noter en particulier dans Yahoo! violation était le type d'informations obtenues par les pirates et le moment de la violation. Malheureusement pour Yahoo! la violation s'est produite lors des négociations d'acquisition avec Verizon, ce qui a entraîné une réduction de 350 millions de dollars du prix final payé par Verizon pour Yahoo! en juin 2017. On ne sait pas encore comment la dernière révélation affectera la société Verizon, qui a maintenant entièrement acquis Yahoo!
Pire encore pour Yahoo! et Yahoo! utilisateurs est que les données prises par les pirates comprenaient les dates de naissance, les noms, les adresses e-mail, les numéros de téléphone associés, les questions et réponses de sécurité (qui n'étaient pas cryptées) et les mots de passe. Essentiellement, les pirates ont pu accéder à presque toutes les informations que les utilisateurs ont mises dans leur profil sous l'hypothèse de la sécurité. Bien que tous les mots de passe aient été hachés, de nombreux mots de passe ont été hachés à l'aide d'un algorithme obsolète facile à résoudre.
Alors que Yahoo! a affirmé qu'il croyait que les auteurs du piratage étaient parrainés par un État étranger, ils n'ont pas indiqué quel État étranger ils croient être responsable. Yahoo! a été largement critiqué pour avoir conservé des informations sur la violation pendant si longtemps, permettant aux utilisateurs d'être vulnérables plus longtemps que nécessaire. En conséquence, ils font l'objet d'enquêtes importantes de la part des autorités gouvernementales, avec lesquelles ils ont promis de coopérer.
Les groupes de renseignement et d'enquête du gouvernement ont été particulièrement impliqués dans l'enquête sur la vague de piratage révélée dans la mise à jour fin 2016 de Yahoo!, puisqu'il semble que l'un des acheteurs des données volées était en contact avec les vendeurs de données cherchant spécifiquement pour les comptes de responsables gouvernementaux connus des États-Unis et de l'UE.
Que peuvent apprendre les autres entreprises de Yahoo! Enfreindre?
La première leçon que les entreprises en ligne devraient tirer de Yahoo! consiste à divulguer rapidement des informations sur les failles de sécurité potentielles, en particulier si vous avez de nombreux sites affiliés travaillant avec un seul. L'un des plus gros problèmes rencontrés lors de la violation était le fait que de nombreux utilisateurs dont les informations privées avaient été compromises n'avaient jamais appris que c'était le cas, car ils ne savaient pas encore qu'ils possédaient même un Yahoo! compte. Ce manque de communication s'est produit parce que Yahoo! roulé de nombreux sites appartenant à des entreprises qu'ils ont acquises en affiliations directes avec Yahoo! messagerie et réseaux sociaux. Des sites Web tels que Flickr, par exemple, ont vu leurs identifiants et mots de passe convertis en Yahoo! comptes après l'acquisition, mais de nombreux utilisateurs de Flickr ne l'ont su que des années après que leurs informations aient été compromises.
L'annonce dès qu'une violation est confirmée permet aux autres entreprises partenaires d'enquêter et de contribuer à prévenir les dommages, et permet aux utilisateurs de réagir pour se protéger également. De plus, le grand public considère les annonces tardives de violations de données comme malhonnêtes, quelle que soit l'intention.
Les entreprises doivent également réaliser que les bases de la sécurité Internet ne suffisent tout simplement plus. Beaucoup de Yahoo! les comptes ont été compromis en profitant d'un cookie exploitable, qui aurait pu être intercepté ou empêché avec de meilleures politiques de sécurité Internet et une analyse plus approfondie de la conception des cookies. D'autres comptes ont été consultés en utilisant l'ingénierie sociale, y compris des tactiques de phishing. Les comptes qui n'étaient pas entièrement compromis ont été contactés à l'aide d'e-mails de phishing utilisant les informations de la compromission partielle pour convaincre les utilisateurs qu'ils communiquaient avec Yahoo! fonctionnaires. Les entreprises qui espèrent apprendre de Yahoo! devrait réaliser le pouvoir de l'éducation des utilisateurs en ce qui concerne la prévention des attaques de phishing.
Une autre erreur Yahoo! le leadership a consisté à résister à l'utilisation des informations qui leur étaient fournies par certains des plus grands experts en cybersécurité. Dans les violations graves, il est extrêmement important de faire appel à des spécialistes, en particulier lorsque ces experts ont eu un succès significatif en engageant et en gérant des failles de sécurité dans le passé.
Si vous souhaitez en savoir plus sur les méthodes d'amélioration des politiques de sécurité Internet de votre entreprise, contactez-nous dès aujourd'hui à www.nixa.ca!