在推文中追溯到数据泄露之前三思而后行

5.
NetGalley数据泄露推文

今年,NetGalley,为审稿人提供先进的书籍的网站,以不同的语调派出了其季节的问候。在圣诞节前夕的电子邮件中,该公司宣布:“非常遗憾的是,我们通知您2020年12月21日星期一NetGalley是数据安全事件的受害者。”

根据这一点公司的咨询“最初似乎是我们的主页的简单污秽具有进一步调查,导致未经授权和非法访问NetGalley数据库的备份文件。”

有问题的数据库包括敏感的用户信息,包括用户名和密码,名称,电子邮件地址,邮寄地址,生日,公司名称和Kindle电子邮件地址。

不幸的是,许多用户采取了社交媒体,并开始讨论事件而无需考虑他们所努力的东西。在他们急忙成为第一个关于违约的推文中,许多用户犯了糟糕的错误,这可能会进一步损害他们的安全。

以下可能是关于该事事件发布的最糟糕的方式。用户允许使用他的NetGalley密码了解其他几个帐户。

NetGalley数据泄露推文

虽然该推文可能是一个笑话,但下一个肯定不是。用户发布了包含她全名的NetGalley咨询电子邮件的图像(在图像中覆盖)。由于Twitter帐户名称是假名的,用户刚刚透露了它后面的人的全名。

NetGalley数据泄露推文

还有一些更温和的推文,用户承认他们的NetGalley账号不是用真名。危险程度较低的推文是那些承认自己有一个NetGalley账户,并且刚刚得知黑客入侵的用户发布的,他们要么修改了密码,要么删除了账户。

乍一看,许多推文可能看起来无害,因为NetGalley没有存储非常敏感的信息,如银行账户和信用卡数据。但NetGalleyBreac区已经糟糕地开始。

在揭示安全漏洞时,大多数公司明确地说明他们采取保护用户数据的措施。例如,许多组织很快指出泄露的密码是加密或哈希,这使得攻击者访问该帐户的难以(但不是不可能的)。在星期日在NetGalley的网站上发布的原始咨询和更新版本没有提到加密,这表明黑客数据库以纯文本中存储了用户密码和其他信息。

12月23日,NetGalley发出了第一个建议,该公司宣布所有的登录凭证无效,并通知用户下次登录时必须重置密码。但到那时,损害已经造成了。用户在推特上指出,黑客于12月21日对该网站进行了污损,该公司也在通知中证实了这一点。而且也没有什么能证明他们之前没有接触过这些数据。

即使该公司在攻击者有机会使用它们之前有无效的密码,数据仍然对他们有价值。作为我共享的第一个推文,用户经常在许多帐户中重用他们的密码。在NetGalley Hack之后,攻击者可以访问新的电子邮件和密码列表。它们可以在凭据填充攻击中使用此信息,在那里他们输入从其他服务的数据违规中获取的登录信息,并且可能会访问对其他更敏感的帐户。交叉服务帐户劫持是某种东西常常发生甚至可以包括高调的技术高管。

此次攻击还可以将NetGalley违规的数据与其他数据泄漏泄露的数十亿用户帐户记录组合,以创建其目标的更完整的配置文件。

因此,单独,NetGalley数据泄露可能看起来不像是一个大问题。但是,当在其他安全事件的背景下观察和越来越复杂的网络疗法时,每一条落入恶意演员手中的信息都会变得有助于更大的攻击。

有些人已经将黑客视为无害的。正如一个用户所说,“更糟糕的[SIC]可能发生的是什么,有人会写一篇点评,因为我是一个评论?”

NetGalley数据泄露推文

真正的答案是“不,最差这可能发生的是,一些威胁演员可以使用您的数据和他们可以收集的所有其他公共信息,并使用它们从另一个更敏感的位置攻击您。“

要清楚,这并不意味着您不应该发布关于数据漏洞的推文。事实上,我发现了有关Twitter上的数据违约的很多信息,就像这位用户首次提醒泄露的数据可能是未加密的......

......和这是一个共享一些体面提示的推文。

批评公司处理违约的方式也很好,尽管我会建议避开只增加混乱的蔓延阴谋理论。

Netgalley数据泄露的推文

但总的来说,在关于数据泄露的社交媒体信息时,您必须非常小心。所以,在发布安全事件之前,停止并思考。如果您即将分享的内容揭示有关您或其他人的任何个人信息,例如您使用的服务,您的设备,电子邮件地址,位置和IP地址,那么抵制将Witty发布到您的粉丝的冲动。这不值得。

重点是,暗网已经与数十亿用户的敏感信息进行了补充。通过宣布通过粗心推文揭示有关自己和其他人的更多信息,不要让事情变得更糟。

留下一个回复

本网站使用AkisMet减少垃圾邮件。了解如何处理评论数据