Recibió un correo electrónico sobre un restablecimiento de la contraseña de "Etsy" debido a la "Infracción de Linkedin ..." ¿es este un intento de phishing?

Navega tus respuestas
2

Hoy recibí un correo electrónico de Etsy que dice que están restableciendo mi contraseña (desde el origen parece un restablecimiento masivo de todos los usuarios), debido a que hubo algún tipo de violación de Linkedin, correos electrónicos comprometidos y contraseñas.

Etsy dice que ellos mismos no están comprometidos, pero aparentemente puedes usar una cuenta de linkedin para acceder a Etsy.

Así que tengo curiosidad.

  1. ¿Qué tan importante fue el incumplimiento de Linkedin? Supongo que todo estaba protegido para que nuestras contraseñas no fueran de texto sin formato, pero supongo que es cuestión de tiempo antes de que se descifren (supongo que LinkedIn utiliza muy buena seguridad).

  2. Por lo que veo, las contraseñas "Invalidadas" antes de 2012 ... pero ¿qué pasa después?

  3. ¿Etsy hizo realmente un restablecimiento masivo de la contraseña, o es un correo electrónico de spam / phishing que trata de aprovechar lo que sucedió con Linkedin, o de que no sepamos que Linkedin no estaba comprometido?

  4. Si ambas contraseñas se restablecieron internamente (Linkedin "¿Se anularon algunas contraseñas), hay alguna razón para restablecer las contraseñas si no necesitamos usar esos servicios? No estoy seguro de qué tan buenas son sus" contraseñas aleatorias "para restablecer son, pero si son lo suficientemente buenos, ¿podemos simplemente no cambiar las contraseñas o SIEMPRE es una mejor práctica cambiar las contraseñas?

^ Me pregunto si podría haber un mayor riesgo (intento de suplantación de identidad) si intenta hacer clic en los enlaces de restablecimiento de contraseña (ya que asumo que no nos están enviando un correo electrónico con nuestras contraseñas) y que podrían estarlo. ¿malicioso? De nuevo, asumiendo el hecho de que NO usas esas cuentas a menudo. Si los usa con frecuencia, o si DEBEMOS restablecer las contraseñas nuevamente ... ¿qué pasos debemos tomar entonces? Póngase en contacto con ambas compañías para asegurarse de que se trata de una infracción legítima y de que mi correo electrónico a Etsy era legítimo.

EDITAR:

otra pregunta me vino ...

¿Sería prudente que todos cambien sus contraseñas en general? Si se han descifrado los datos, entonces la gente debería cambiar sus contraseñas (para aquellos que se vieron comprometidos en ese entonces, probablemente ya hayan cambiado sus contraseñas, supongo).

    
pregunta XaolingBao 23.06.2016 - 00:59
fuente

2 respuestas

5

El correo electrónico hace referencia a una violación de la base de datos de contraseñas de LinkedIn que sucedió en 2012. Este fue uno de varias ENORMES infracciones que se descubrieron a finales de mayo de 2016, todas las cuales ocurrieron antes.

Aunque sabíamos de la violación de LinkedIn hace unos años, pensamos que era solo un caso de "se robaron algunas contraseñas". Aparentemente se notificó a 6 millones de propietarios de cuentas en ese momento.

Luego, alguien puso el conjunto de datos completo a la venta en la darkweb en 2016. Y supimos que el verdadero alcance era "todas las contraseñas fueron robadas".

Después de estas violaciones, ahora hay más de 600 millones de combinaciones válidas de nombre de usuario / contraseña para la venta, para algunos sitios muy populares que incluyen LinkedIn, MySpace y Tumblr.

Sabiendo que la mayoría de los usuarios de Internet reutilizan las contraseñas, los delincuentes inteligentes compraron esas credenciales robadas y comenzaron a intentar iniciar sesión en varios otros servicios en línea, incluido github , Twitter, Pinterest, Instagram , TeamViewer , GoToMyPC , y casi con seguridad otras. Así que no, dudo mucho "puedes usar una cuenta de LinkedIn para acceder a Etsy", sin embargo, si (como la mayoría de las personas en Internet) usaste la misma contraseña en Etsy que usaste en LinkedIn, alguien probablemente usó la contraseña que robaron LinkedIn para intentar iniciar sesión en tu Etsy.

Entonces: si alguna vez has tenido una cuenta de LinkedIn o una cuenta de MySpace, probablemente sea una buena idea cambiar tu contraseña allí. Si alguna vez reutilizó esa contraseña en otro lugar, cámbiela también . Para estar más seguro, tienes derecho a no seguir el enlace del correo electrónico. Vaya directamente a cada sitio y cámbielo a través de los medios normales, en lugar de seguir el enlace del correo electrónico.

Mientras estás en ello, considera obtener un administrador de contraseñas como KeePass , 1Password , DashLane , LastPass , o similar; Esto le permitirá crear una contraseña única y segura en todas partes, sin necesidad de recordarlas todas. Luego, cuando algo así suceda inevitablemente otra vez, solo necesita cambiar la contraseña que se violó.

Si tiene curiosidad (o desea recibir una advertencia la próxima vez), tómese un minuto para buscar y / o registrar su dirección de correo electrónico en Troy El servicio de Hunt ha sido desarrollado por Hunt, que puede indicarle si se filtraron sus credenciales en alguna de las grandes infracciones a las que tuvo acceso.

    
respondido por el Ben 23.06.2016 - 17:33
fuente
0

Si usa la misma contraseña para otros sitios web, definitivamente lo deja vulnerable. No estoy seguro de si es un intento de phishing, sin embargo, si ha empezado a formar un patrón para el uso repetido de contraseñas, puede ser el paso más inteligente para cambiar a algo nuevo.

    
respondido por el SaintFelix 23.06.2016 - 03:56
fuente

Lea otras preguntas en las etiquetas

¿Un Firewall de aplicación web solo protege la capa 7 de OSI? ¿Cuál es la forma más segura de ingresar información en un sitio web?