Hér verða spurningar og svör í tengslum við tölvupóst vegna Linkedin gagnalekans

Er ég kominn á einhvern póstlista?

Nei. Markmiðið með þessum tölvupósti einungis að aðstoða og vekja fólk til umhugsunar. Þeir sem fá þennan póst eru á engan hátt komnir á neinn póstlista og því er enginn afskráningar valmöguleiki. Þessi póstur er einungis sendur einu sinni á hvert netfang í gagnalekanum. Sér netfang var búið til til þess að senda tölvupóstana linkedin_gagnaleki@security.is og verður því netfangi eytt eftir að búið er að senda öllum í gagnalekanum tölvupóst.

Er hægt að nálgast upplýsingar um aðra gagnaleka?

Ábending hefur borist þess efnis að hægt sé að heimskæja vefsíðuna: https://haveibeenpwned.com/ og fletta upp netfanginu sínu í bæði Linkedin og öðrum gagnalekum. Auk þess er hægt að skrá sig á póstlista hjá viðkomandi og fá tilkynningar ef netfang þitt verður hluti af öðrum gagnaleka sem þeir vakta. Einnig er hægt að skrá sig fyrir sínum eign lénum.

Ég er oft búin að breyta lykilorði mínu, þarf ég þá nokkuð að hafa áhyggjur?

ef lykilorðin þín eru nægilega löng og flókin (og fylgja ekki alltaf sama mynstri) og þú breytir þeim reglulega, þá ættirðu að vera í góðum málum og ættir ekki að þurfa að hafa neinar áhyggjur. Það vill oft verða að fólk noti sama lykilorðið á nokkrum stöðum eða sambærilega uppbyggingu lykilorða, einnig heyrir maður af fólki skipta reglulega milli sömu lykilorðana, það er óheppilegt ef það verður gagnaleki samæbirlegur þessum.

Auk þess að hafa flókin og löng lykilorð og að skipta reglulega um lykilorð eins og þú gerir, þá er best að virkja tvíþætta auðkenningu þar sem hún er í boði. T.d. virkar tvíþætta auðkenningin hjá Linkedin þannig að þegar þú ert búin að virkja hana þá færðu sent SMS með auðkennis númeri í hvert skipti sem þú reynir að tengjast linkedin frá nýrri tölvu. Og ef þú slærð ekki inn rétta auðkennisnúmerið (sem þú fékst í SMS’inu), þá geturðu ekki tengst. Þannig að ef einhver óprúttin aðili vissi notandanafnið þitt og lykilorðið þitt þá gæti hann ekki skráð sig inn í Linkedin sem þú. Ókosturinn við að vera með tvíþætta auðkenningu er hins vegar að ef þú myndir vilja tengjast t.d. linkedin á annari/nýrri tölvu og værir ekki með GSM símann hjá þér, þá gætirðu það ekki …

En miðað við aukið öryggi og miðað við að flestir eru með GSM símann á sér þá myndi ég mæla með því að virkja tvíþætta auðkenningu alls staðar sem hún er í boði :-)

Ég get ekki með nokkru móti munað hvenær ég breytti mínum lykilorðum en ég skil ekki hvaða lykilorð þetta eru, ég fæ þennan póst á vinnu emalið mitt en á þetta við við um öll lykilorð gogle og að bankanum mínum eða er þetta eingöngu tengt xxxx?

Þessi tölvupóstur var sendur út í tengslum við tölvuinnbrot og gagnaleka hjá Linkedin sem átti sér stað árið 2012 (sjá nánari upplýsingar í upphaflega tölvupóstinum og wiki síðu sem þar er vitnað í). Lykilorðið sem um ræðir (eða öllu heldur lykilorðahashið) og vitnað er í, í tölvupóstinum, tengist einungis Linkedin. Þegar þú skrárir þig inn hjá Linkedin þá notarðu notandanafn og lykilorð. Notandanafnið er eitthvað netfang. Ef þú fékst þennan tölvupóst á vinnu netfangið þitt þá hefur þú notað vinnunetfangið þitt sem notandanafn á Linkedin.

Þú spyrð hvort þetta eigi einnig við um önnur lykilorð? t.d. í vinnunni? Það er spurning sem þú þarft sjálf/ur að svara. Þ.e.a.s. ertu í dag að nota sama lykilorð í vinnunni og þú varst að nota hjá Linkedin árið 2012?

Ég kannast ekki við að hafa nokkurntíman haft Linkedin reikning.

Ef þú fékst sendan þennan tölvupóst, þá er það vegna þess að netfangið þitt var í gagnalekanum frá Linkedin. Athugaðu að gagnalekinn átti sér stað fyrir fjórum árum síðan. Getur verið að þú hafir verið með Linkedin aðgang þá en síðan hætt með þann aðgang? Getur verið að þú hafir skráð þig hjá Linkedin fyrir meira en fjórum árum en síðan gleymt því? Getur verið að einhver annar hafi hjálpað þér að skrá þig hjá Linkedin fyrir meira en fjórum árum síðan og þú munir ekki eftir því? Getur verið að einhver annar hafi verið með netfangið þitt á undna þér og skráð sig hjá Linkedin?

Ég veit ekki afhverju netfangið þitt var í gagnalekanum en þessi tölvupóstur er/var einungis sendur á þau netföng sem voru í gagnalekanum. Stóra spurningin er: ert þú reglulega að nota sama lykilorðið á mörgum stöðum? (það er ekki gott) og ef svo er, varstu einnig að nota það árið 2012? Þannig að ef svo vildi til að þú hefðir skráð þig á Linkedin (en munir ekki eftir því) þá er öruggara að hætta að vera með sama lykilorðið alls staðar og helst hafa eitt lykilorð fyrir hvern aðgang, og eins og bent er á í tölvupóstinum að virkja tvíþætta auðkenningu þar sem slíkt er í boði.