Linkedin gagnalekinn og íslensk netföng

Sem tilraunaverkefni var ákveðið að senda tölvupóst á þau u.þ.b. 12.000 Íslensku netföng sem voru í Linkedin gagnalekanum frá því 2012 (og enduðu á .is).

Tölvupóstinn má finna hér

Spurningar sem bárust og svör má finna hér

Kom innihald tölvupóstins á óvart?

Vonandi kemur innihald tölvupóstsins ekki neinum á óvart. Það var liðinn rúmur mánuður frá því að gagnalekinn frá Linkedin var öllum aðgengilegur á Internetinu og þangað til að fyrsti tölvupósturinn var sendur út af Security.is. Vonandi hafði öryggisstjóri eða kerfisstjóri hjá fyrirtækinu sem þú vinnur hjá verið búinn að láta þig vita löngu áður en Security.is sendi út fyrsta póstin (þ.e.a.s. maí eða júní). Reyndar kann að vera að þeir hafi ekki metið áhættuna þess eðlis að þess þurfi, sérstaklega ef stefna er til staðar um sterk lykilorð á þínum vinnustað og krafa um að lykilorðunum sé breytt reglulega. Auk þess má enn og aftur benda á að þetta eru upplýsingar frá því fyrir fjórum árum síðan! Einnig er vert að hafa í huga að margir nota sín eigin óvinnutengdu netföng. Hvað sem því líður þá snýst þetta ekki einungis um vinnustaðin þinn heldur um “þig”. Þú kannt að nota aðrar þjónustur t.d. hotmail/gmail/facebook/twitter/o.fl. sem tengist vinnunni ekki á neinn hátt og gerir mögulega ekki sömu kröfur til flækjustigs og endurnýjun lykilorða.

Hvað var markmiðið?

Markmiðið með þessum tölvupóst er einungis að aðstoða, vekja fólk til umhugsunar og auka öryggisvitund. Sér netfang var búið til til þess að senda tölvupóstana linkedin_gagnaleki@security.is og verður því netfangi eytt eftir að búið er að senda öllum í gagnalekanum tölvupóst. Þessi póstur er einungis sendur einu sinni á hvert netfang í gagnalekanum.

Ef ég er Íslendingur og fékk ekki tölvupóst, þarf ég þá ekki að hafa áhyggjur?

Mikill fjöldi þeirra íslensku netfanga (og enduðu á .is) eru ekki lengur í gildi. Annað hvort eru lénin ekki lengur til eða búið er að loka viðkomandi netfangi. Auk þess kann tölvupósturinn frá Security.is að hafa lent í póst síu.

Athugið einnig að ekki var sendur tölvupóstur á netföng hjá gmail.com / hotmail.com / yahoo.com og þess háttar, þ.e.a.s. á netföng sem enda ekki á .is. Þar af leiðandi var ekki sendur póstur á þá Íslendinga sem voru með þessi netföng skráð hjá Linkedin.

Hægt er að athuga hvort netfangið þitt sé í gagnalekanum

hægt er að fara á https://haveibeenpwned.com/ og fletta upp netfanginu þínu í bæði Linkedin og öðrum gagnalekum. Auk þess er hægt að skrá sig á póstlista hjá viðkomandi og fá tilkynningar ef netfang þitt verður hluti af öðrum gagnaleka sem þeir vakta. Einnig er hægt að skrá sig fyrir sínum eign lénum.

Netfangið mitt var ekki í gagnalekanum, þarf ég að hafa áhyggjur?

Ef þú heldur að þú hafir verið að nota Linkedin í kringum 2012 þá ættir þú að spyrja þig hvort þú sért mögulega að nota einhversstaðar sama lykilorð í dag og þú varst að nota í kringum 2012. Ef svo er þá ættirðu að breyta lykilorðunum á þeim stöðum. Eins og fram kom að ofan, þá er fjöldi netfanga úr gagnalekanum óvirkur í dag og ef þú ert með annað netfang í dag en var í gagnalekanum þá er eðlilegt að þú finnist ekki í gagnalekanum þó svo að gamalt netfang sem þú hefur notað 2012 sé þar.

Æskilegt

Æskilegt er að hafa sér lykilorð fyrir hverja þjónustu. Æskilegt er að virkja tvíþætta auðkenningu þar sem hún er í boði.

T.d. virkar tvíþætta auðkenningin hjá Linkedin þannig að þegar þú ert búin að virkja hana þá færðu sent SMS með auðkennis númeri í hvert skipti sem þú reynir að tengjast linkedin frá nýrri tölvu. Og ef þú slærð ekki inn rétta auðkennisnúmerið (sem þú fékst í SMS’inu), þá geturðu ekki tengst. Þannig að ef einhver óprúttin aðili vissi notandanafnið þitt og lykilorðið þitt þá gæti hann ekki skráð sig inn í Linkedin sem þú. Ókosturinn við að vera með tvíþætta auðkenningu er hins vegar að ef þú myndir vilja tengjast t.d. linkedin á annari/nýrri tölvu og værir ekki með GSM símann hjá þér, þá gætirðu það ekki …

En miðað við aukið öryggi og miðað við að flestir eru með GSM símann á sér þá myndi ég mæla með því að virkja tvíþætta auðkenningu þar sem hún er í boði :-)

Written by Svavar Ingi Hermannsson (XxSiHxX) on July 8, 2016