Ricevuto un messaggio di posta elettronica su "Etsy" Reimposta password a causa della "violazione di Linkedin ..." si tratta di un tentativo di phishing?

Naviga le tue risposte
2

Oggi ho ricevuto un'e-mail da Etsy che mi sta dicendo che stanno reimpostando la mia password (dalla sorgente sembra un reset di massa di tutti gli utenti), a causa della presenza di una sorta di violazione di Linkedin, di e-mail e password compromesse.

Etsy dice che loro stessi non sono compromessi, ma a quanto pare puoi usare un account linkedin per accedere a Etsy.

Quindi sono curioso.

  1. Quanto era grande l'accordo sulla violazione di Linkedin ?? Presumo che tutto fosse protetto in modo che le nostre password non fossero semplici, ma immagino che sia una questione di tempo prima che si rompano (presumo che LinkedIn usi un'ottima sicurezza).

  2. Da quello che vedo hanno le password "Invalidate" prima del 2012 ... ma che dire dopo?

  3. Etsy ha effettivamente effettuato un reset totale della password, o è un'e-mail di spam / phishing che tenta di sfruttare ciò che è successo con Linkedin, o approfitta di noi non sapendo che Linkedin non è stato / non è stato compromesso?

  4. Se entrambe le password sono state ripristinate internamente ("Invalidato alcune password" di Linkedin, c'è qualche ragione per reimpostare le password se non abbiamo bisogno di usare quei servizi? Non sono sicuro di quanto siano buone le loro "password casuali" "per il ripristino sono, ma se sono abbastanza buoni non possiamo semplicemente cambiare le password, o è SEMPRE una buona pratica cambiare le password?

^ Mi stavo chiedendo se potrebbe esserci un rischio maggiore (tentativo di phishing) se provi a fare clic su quei link di reimpostazione della password (poiché presumo che non ci inviino via email le nostre password) e che quelli potrebbero essere dannoso? Di nuovo, assumendo il fatto che NON si usano spesso quegli account. Se li usi spesso, o che dovremmo reimpostare nuovamente le password ... quali passi dovremmo fare allora? Contatta entrambe le società per assicurarti che si sia verificata una violazione legittima e che la mia email a Etsy sia legittima?

EDIT:

mi è venuta un'altra domanda ...

Sarebbe saggio per tutti cambiare le loro password su tutta la linea allora? Se i dati sono stati violati, le persone dovrebbero cambiare le loro password (per quelli che erano stati compromessi in quel momento, probabilmente hanno già cambiato le loro password, presumo comunque)?

    
posta XaolingBao 23.06.2016 - 00:59
fonte

2 risposte

5

L'email si riferisce a una violazione del database delle password di LinkedIn che è successo nel 2012. Questo era uno dei diverse violazioni enormi che sono state scoperte verso la fine di maggio 2016, tutte in realtà accadute prima.

Anche se sapevamo della violazione di LinkedIn qualche anno fa, pensavamo che fosse solo il caso di "alcune password rubate". All'epoca apparivano 6 milioni di proprietari di account.

Poi qualcuno ha messo l'intero set di dati in vendita su Darkweb nel 2016. E abbiamo appreso che il vero scopo era "tutte le password sono state rubate".

Dopo queste violazioni, ora ci sono oltre 600 milioni di combinazioni di username / password valide per la vendita, per alcuni siti molto popolari tra cui LinkedIn, MySpace e Tumblr.

Sapendo che la maggior parte degli utenti di Internet riutilizza le password, i criminali intelligenti hanno acquistato quelle credenziali rubate e hanno iniziato a cercare di accedere a vari altri servizi online, tra cui github , Twitter, Pinterest, Instagram , TeamViewer , GoToMyPC , e quasi certamente altri. Quindi no, dubito molto "puoi usare un account LinkedIn per accedere a Etsy", tuttavia se tu (come la maggior parte delle persone su Internet) hai usato la stessa password su Etsy come hai usato su LinkedIn, qualcuno probabilmente ha usato la password che hanno rubato LinkedIn per provare ad accedere al tuo Etsy.

Quindi: se hai mai avuto un account LinkedIn o un account MySpace, è probabilmente una buona idea cambiare la tua password lì. Se hai mai riutilizzato la password da qualche altra parte, cambia anche lì . Per essere più sicuro, hai ragione a non seguire il link nell'email. Vai direttamente a ciascun sito e modificalo tramite i normali mezzi, piuttosto che seguire il link email.

Mentre ci sei, considera la possibilità di ottenere un gestore di password come KeePass , 1Password , DashLane , LastPass , o simili; questo ti permetterà di trovare una password unica e strong ovunque, senza bisogno di ricordarli tutti. Quindi, quando qualcosa del genere si ripresenta inevitabilmente, è sufficiente cambiare la password che è stata violata.

Se sei curioso (o vuoi avere un avvertimento la prossima volta), prenditi un minuto per cercare e / o registrare il tuo indirizzo e-mail all'indirizzo Troy Il servizio di assistenza di Hunt è , che può dirti se le tue credenziali sono trapelate in una qualsiasi raccolta di violazioni abbastanza ampia a cui ha avuto accesso.

    
risposta data 23.06.2016 - 17:33
fonte
0

Se usi la stessa password per altri siti web, sicuramente ti rende vulnerabile. Non sono sicuro che si tratti di un tentativo di phishing, tuttavia se hai iniziato a creare un pattern per la password ripetitiva, potrebbe essere la mossa più intelligente per passare a qualcosa di nuovo.

    
risposta data 23.06.2016 - 03:56
fonte

Leggi altre domande sui tag

È necessario abilitare SSL per client e server eseguiti nella stessa macchina? Qual è il modo più sicuro per inserire informazioni su un sito web?