El 2012 la xarxa social LinkedIn, que allotja currículums i manté en contacte professionals de tot el món, va patir una violació de dades o data breach. Els usuaris de LinkedIn s’identifiquen amb una adreça de correu i una contrasenya triada per ells mateixos. Un total de 164 milions d’aquests identificadors van ser robats i van romandre ocults fins que al maig d’enguany es van posar a la venda a un mercat de la Web profunda o Deep Web.
No és estrany fer servir el nostre compte de correu @ub.edu per donar-nos d’alta a portals i serveis relacionats amb el món de la docència o del nostre perfil professional, la nostra ferma recomanació però, és que, quan accedim a webs no UB i ens identifiquem amb el compte ub, triem una contrasenya diferent a la que fem servir a la UB.
En el cas de LinkedIn, més de 1500 comptes de correu de la UB es troben entre les dades que s’han fet públiques (“dades compromeses”).
I jo, estic afectat?
La verificació és molt fàcil: entreu a la pàgina web https://haveibeenpwned.com/ i introduïu-hi una adreça de correu vostra sigui de la UB, de gmail, de yahoo, etc.
Si la pàgina es torna verda, us dirà que “good news”, significa que l’adreça de correu no s’ha vist compromesa.
Si la pàgina es torna vermella, vol dir que aquesta adreça s’ha fet pública com a conseqüència d’algun data breach .
La mateixa pàgina ens informarà de quin/quins llocs web han estat atacats i quan.
Què hem de fer?
Cal valorar diverses possibilitats:
- Si no recordem haver-nos identificat per cap motiu en els llocs web que ens diu, pot ser que algú altre hagi fet servir la nostra adreça de correu i una contrasenya de collita pròpia per registrar-se en el lloc. Com que això és una usurpació de credencials, podem fer servir les eines del lloc web per donar de baixa el nostre compte i desvincular-lo del lloc.
- Si realment ens havíem donat d’alta al lloc web de manera conscient, caldrà immediatament canviar-nos la contrasenya amb les eines del lloc web. La mateixa pàgina https://haveibeenpwned.com, quan es torna vermella, ja ens diu quines dades nostres han estat divulgades (“Compromised data”) i podrem valorar l’abast del perjudici.
- Si, en el pitjor dels casos, ens vam identificar en algun lloc web amb una adreça de correu I LA SEVA CONTRASENYA ASSOCIADA, caldrà canviar immediatament aquesta contrasenya, ja que qualsevol hacker podria fer servir el nostre correu per cometre actes punibles.
- En cas de tractar-se d’una adreça de correu ub.edu, no cal preocupar-se, ja que amb l’actual política de contrasenyes de l’Àrea TIC, que obliga a canviar-les cada 6 mesos, és gairebé impossible que encara tingueu la mateixa contrasenya que el 2012 (a menys que, per casualitat, l’hàgiu repetit i torni a ser la mateixa que el 2012, és clar).
Acabem aquesta entrada insistint en el fet de no fer servir MAI la mateixa contrasenya de la UB amb webs i serveis no UB on accediu amb el compte @ub.edu.