Pelanggaran Yahoo Mungkin Tidak Akan Mengompromikan Kad Kredit

Ia masa menukar kata laluan sekali lagi.

Pengumuman Yahoo bahawa "pelakon yang ditaja negeri" telah mencuri data, yang mungkin termasuk kata laluan tersembunyi, dari setengah bilion akaun pada akhir tahun 2014 merupakan salah satu pelanggaran keselamatan terbesar yang pernah didedahkan. Berita yang "baik" - jika kita boleh menyebutnya bahawa - adalah kata laluan tersembunyi dan bahawa hack itu tidak muncul secara langsung melibatkan kad kredit atau akaun bank, menurut pengumuman Yahoo.

Akaun kad kredit mungkin tidak akan terjejas. Tetapi "mungkin" tidak "pasti." Jika anda cenderung untuk menggunakan semula kata laluan di beberapa laman web, sekarang adalah masa untuk berhenti, dan menukar kata laluan tersebut. Dan Yahoo masih menggalakkan orang untuk menyemak laporan kredit mereka.

Bukan Sasaran yang lain

Apabila anda mendengar "pelanggaran data," anda mungkin memikirkan apa yang berlaku kepada Sasaran pada tahun 2013. Sekitar 70 juta pelanggan terjejas, dan - lebih buruk - 40 juta nombor kad kredit telah dicuri. Berjuta-juta pelanggan terpaksa bimbang tentang aktiviti penipuan pada kad mereka akibatnya.

Pelanggaran Yahoo adalah kira-kira tujuh kali lebih besar daripada Sasaran, tetapi bagi pengguna yang terjejas, ia tidak tujuh kali lebih buruk.

Perbezaan berkaitan dengan apa yang telah dicuri. Dalam kes Yahoo, maklumat yang dicuri itu termasuk nama, alamat e-mel, nombor telefon, tarikh lahir, kata laluan tersembunyi dan, dalam beberapa kes, soalan keselamatan dan jawapan kedua-dua tidak disulitkan dan disulitkan, menurut kenyataan berita dari syarikat itu. Yahoo juga menyatakan bahawa siasatan yang berterusan menunjukkan bahawa "maklumat yang dicuri tidak termasuk kata laluan yang tidak dilindungi, data kad pembayaran, atau maklumat akaun bank."

Kata laluan juga "telah hilang," menurut Yahoo. Ini bermakna mereka dilalui "fungsi matematik yang menukarkan rentetan data asal kepada rentetan watak yang rawak," menurut Yahoo.

Tanda-tanda hack berpotensi dilaporkan muncul awal musim panas ini di "web gelap" - ruang internet yang tidak dapat dicapai oleh enjin carian, di mana urusan haram dapat tidak dapat dikesan. Seorang penggodam cuba menjual apa yang kononnya 200 juta akaun Yahoo untuk 3 bitcoin, atau kira-kira $ 1,860, Motherboard dilaporkan pada bulan Ogos. Itu di sisi yang murah, jika anda menganggap bahawa kelayakan login untuk bank di seluruh dunia pergi untuk "antara AS $ 200 dan AS $ 500 setiap akaun" di pasaran seperti ini, menurut kertas putih oleh Trend Micro.

Apa yang boleh berlaku

Kredensial yang dicuri dalam pelanggaran Yahoo tidak begitu berharga selagi kata laluan disembunyikan. Tetapi masih ada risiko bahawa penggodam boleh mendapatkan lebih banyak maklumat daripada pelanggaran daripada yang kita fikirkan.

Ambil kata laluan, sebagai contoh. Apabila kata laluan telah hilang, ia tidak berguna. Tetapi ada kemungkinan bahawa penggodam boleh "membongkar" kata laluan tersebut, kata Al Pascual, naib presiden kanan dan ketua penipuan dan keselamatan di Strategi & Penyelidikan Javelin.

"Terdapat perisian seperti Hashcat dan John the Ripper yang direka untuk memecahkan kata laluan," kata Pascual. "Ia memerlukan masa dan kuasa pemprosesan, dan walaupun tidak setiap kata laluan biasanya dienkripsikan."

Jika penggodam berjaya membongkar beberapa kata laluan, mereka boleh menjalankan skrip untuk memukul banyak laman web yang mungkin untuk melihat mana kata laluan tersebut berfungsi, kata Pascual. Itu boleh menjejaskan pengguna yang menggunakan kata laluan yang sama untuk setiap akaun.

Sekalipun itu terbukti berjaya, peretas mungkin tidak akan dapat mendapatkan rekening kewangan anda. Bank-bank dan penerbit utama mempunyai perisian keselamatan yang mengunci pengguna selepas beberapa kali percubaan masuk gagal. Bagaimanapun, Pascual mengatakan beberapa penerbit yang lebih kecil tidak mempunyai keupayaan ini.

Penipuan Phishing adalah satu lagi potensi hasil pelanggaran, dan salah satu yang dijangka oleh Yahoo. Syarikat itu menegaskan bahawa e-mel yang dihantar kepada mereka yang terjejas oleh pelanggaran itu "tidak meminta anda untuk mengklik sebarang pautan atau mengandungi lampiran dan tidak meminta maklumat peribadi anda" - permintaan yang merupakan taktik biasa dalam e-mel phishing. Maklumat kad kredit anda mungkin tidak terjejas oleh pelanggaran Yahoo secara langsung, tetapi ia mungkin akan dikompromikan jika anda memberikan bukti kelayakan login anda kepada seseorang yang berpura-pura menjadi Yahoo melalui e-mel.

»LEBIH: Crooks mahu mata kad kredit anda

Apa yang perlu dilakukan

Sekiranya anda menerima notis daripada Yahoo bahawa anda telah terjejas oleh pelanggaran itu, berikut adalah tiga perkara yang boleh anda lakukan untuk menjaga penipuan yang mungkin pada kad kredit anda dan akaun lain:

1. Tukar kata laluan anda. "Orang ramai cenderung tidak mengemas kini kata laluan mereka kecuali mereka benar-benar perlu," kata Pascual. Hacker melihat bahawa sebagai peluang utama. Jadi jika anda menggunakan kata laluan yang sama untuk semua akaun anda, jangan hanya mengemas kini kata laluan Yahoo anda - kemas kini kata laluan anda yang lain juga. Setidak-tidaknya, pastikan kata laluan yang anda gunakan pada kad kredit dan akaun bank anda tidak sama dengan yang anda gunakan di laman web yang kelihatan seperti mereka dirancang oleh pelajar kelas enam pada tahun 1999.
2. Baca e-mel dengan teliti. Jangan balas e-mel yang berasal dari Yahoo - atau mana-mana syarikat, untuk perkara itu - jika mereka meminta anda memberikan kata laluan, nama pengguna atau maklumat peribadi lain, atau meminta anda untuk mengklik pautan.Penipu menggunakan e-mel yang mendesak seperti ini untuk mendapatkan maklumat berharga daripada pengguna yang tidak curiga.
3. Semak laporan kredit dan akaun kewangan anda. Walaupun pelanggaran Yahoo tidak termasuk data kewangan, "kami menggalakkan anda untuk terus berjaga-jaga dengan mengkaji penyata akaun anda dan memantau laporan kredit anda," menurut kenyataan dari syarikat itu.

Anda boleh mendapatkan laporan kredit percuma sekali setahun dari setiap tiga biro kredit utama: Experian, Equifax dan TransUnion. Pergi ke AnnualCreditReport.com. Jika anda mengesan tanda-tanda penipuan pada akaun kad kredit anda - katakan, pembelian yang tidak dikenali - hubungi penerbit anda dan laporkannya. Undang-undang ini mengehadkan tanggungjawab kewangan anda dengan penipuan akaun bank dan penipuan kad kredit. Walaupun kad kredit anda secara tidak langsung dipengaruhi oleh pelanggaran ini, anda mungkin tidak perlu membayarnya.

Claire Tsosie adalah seorang penulis di Investmentmatome, sebuah laman web kewangan peribadi. E-mel: [email protected]. Twitter: @ ideclaire7.