COMMENTAIRE
L’information génétique est l’une des rares informations véritablement immuables et potentiellement inestimables. Nous ne pouvons pas modifier notre génome dans une large mesure. Contrairement aux données biométriques, qui peuvent être stockées dans un certain nombre de structures algorithmiques ou hachées différentes, les informations génétiques peuvent invariablement être réduites à de simples séquences de paires d’acides aminés. Le scénario cauchemardesque serait donc celui de mauvais acteurs piratant une base de données génétiques et donnant accès aux plans biologiques à un grand nombre de personnes.
Récemment, ce cauchemar est devenu réalité avec le piratage de la société de tests génétiques 23andMe. Les attaquants ont utilisé du classique techniques de bourrage d'informations d'identification pour accéder illégalement à 14,000 23 comptes d'utilisateurs. Mais ils ne se sont pas arrêtés là. Grâce aux fonctionnalités de partage de XNUMXandMe qui permettent aux utilisateurs de partager et de lire les données d'autres utilisateurs susceptibles d'être liés, les pirates ont pu extraire données génétiques de 6.9 millions de personnes. Les attaquants ont publié des offres sur le Dark Web pour 1 million de profils. 23andMe n’a révélé l’impact total qu’un mois après l’attaque.
Pour protéger les utilisateurs, 23andMe invite tous les utilisateurs à modifier immédiatement leurs mots de passe et à s'assurer qu'ils sont uniques et complexes. C'est bien mais insuffisant. Plus important encore, l'entreprise inscrit automatiquement les clients existants à une authentification à deux facteurs pour une couche de sécurité supplémentaire. Plutôt que d'attendre l'inévitable événement catastrophique, chaque application SaaS (Software-as-a-Service) devrait rendre le 2FA obligatoire et les meilleures pratiques devraient être déplacées du 2FA vers le MFA avec un minimum de trois facteurs disponibles. C'est désormais une question de sécurité publique et devrait être obligatoire, tout comme les constructeurs automobiles doivent inclure des ceintures de sécurité et des airbags dans leurs véhicules.
Les effets de réseau multiplient les impacts des compromissions
Beaucoup de nos comptes et applications SaaS incluent des fonctionnalités en réseau qui augmentent l'exposition de manière exponentielle. Dans le cas de 23andMe, les données exposées comprenaient des informations provenant des profils DNA Relatives (5.5 millions) et des profils Family Tree (1.4 million) que les 14,000 XNUMX utilisateurs du compte avaient partagés ou rendus accessibles. Ces informations comprenaient les emplacements, les noms d'affichage, les étiquettes de relation et l'ADN partagé avec les correspondances, ainsi que les années de naissance et les emplacements de certains utilisateurs. Bien que la valeur marchande des données ADN pour les pirates informatiques reste floue, leur caractère unique et irremplaçable suscite des inquiétudes quant à d’éventuelles utilisations abusives et ciblage à l’avenir.
Remplacez 23andMe par Dropbox, Outlook ou Slack, et vous pourrez facilement voir comment un nombre relativement restreint de comptes exposés peut générer des données pour une organisation entière. L'accès à un compte Outlook peut fournir des noms et des connexions sociales, ainsi que des interactions qui pourraient être utiles pour créer des attaques d'ingénierie sociale plus crédibles.
Ce n'est pas une menace mineure. Nous voyons de plus en plus d’attaquants avisés rechercher des applications moins protégées et disposant d’informations réseau considérables pour exécuter des attaques plus larges. Selon l'indice IBM X-Force 2023 Threat Intelligence 2023, 41 % des attaques réussies ont utilisé le phishing et l'ingénierie sociale comme principal vecteur. Par exemple, le Incident de jeton de session Okta a cherché à tirer parti du niveau de sécurité plus faible de son support client et de son système de tickets pour collecter des informations en vue d'attaques de phishing contre les clients. Les coûts de ces attaques augmentent et peuvent être stupéfiants. IBM estime le coût moyen d'une violation à plus de 4 millions de dollars et par La capitalisation boursière d'Okta a chuté de plusieurs milliards de dollars après avoir annoncé la rupture.
Un correctif attendu depuis longtemps : 2FA obligatoire pour les connexions
Le hack 23andMe martèle une vérité évidente. Les combinaisons de nom d'utilisateur et de mot de passe sont non seulement intrinsèquement peu sûres, mais essentiellement non assurables et constituent un risque inacceptable. Même en supposant qu’un mot de passe assure à lui seul la sécurité, il est insensé. Dans les processus de sécurité et autres processus de certification, toute entreprise qui ne parvient pas à activer l’inscription automatisée au 2FA doit être signalée comme présentant un risque afin de fournir les informations nécessaires sur les risques aux partenaires, aux investisseurs, aux clients et aux organismes gouvernementaux.
Le 2FA doit être obligatoire et appliqué comme prix d’entrée pour toute application SaaS – sans exception. Certaines organisations pourraient se plaindre du fait qu’un tel mandat entraînerait des frictions supplémentaires et aurait un impact négatif sur l’expérience utilisateur. Mais les concepteurs d’applications innovantes ont largement résolu ces problèmes en s’appuyant sur des principes de base en supposant que leurs utilisateurs devront utiliser 2FA. De plus, de nombreuses organisations de premier plan comme GitHub ont déployé des mandats 2FA, les exemples ne manquent donc pas illustrant la manière dont des équipes UX talentueuses relèvent le défi.
Curieusement, les mêmes allégations de frictions et d’inconvénients constituaient autrefois la plainte principale contre l’obligation de porter le port du port du port du port du port du port du port du port du port du port du port du port du port du port du port du port du port du port du port de la ceinture de sécurité. Aujourd’hui, personne ne cligne des yeux et le port de la ceinture de sécurité est largement accepté. Dans le même ordre d’idées, les ceintures de sécurité et les airbags pour les applications SaaS permettront, à terme, d’économiser au monde plusieurs milliards de dollars en réduisant les pertes et en augmentant la productivité.
Et les mots de passe ? Malheureusement, il est peu probable qu’elles atteignent une masse critique dans les entreprises dans les années à venir. Et les mots de passe sont encore plus sécurisés lorsqu’ils sont associés à MFA. Le défi incombera donc aux fabricants de SaaS d'améliorer leur convivialité et de rendre l'utilisation de 2FA et MFA encore plus facile pour tout le monde, en particulier des facteurs plus sécurisés tels que la biométrie, les clés matérielles et les applications d'authentification.
Les données génétiques sont le canari dans la mine de charbon de sécurité SaaS. À mesure que de plus en plus de vies et d’activités se déroulent en ligne, les entreprises et les consommateurs courent de plus en plus de risques. Renforcer la sécurité du SaaS est un bien public qui profitera à tous. L’étape la meilleure et la plus évidente à l’heure actuelle consiste à rendre obligatoire la 2FA comme niveau de sécurité de base.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :est
- :ne pas
- $UP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- Capable
- Qui sommes-nous
- accepté
- accès
- accessible
- Compte
- hybrides
- activités
- acteurs
- Supplémentaire
- Avantage
- Après
- à opposer à
- algorithmique
- même
- Tous
- seul
- le long de
- an
- ainsi que les
- Annoncer
- tous
- appli
- Application
- applications
- applications
- SONT
- AS
- hypothèse
- attaquer
- Attaques
- Authentification
- Automatisation
- automatiquement
- disponibles
- moyen
- Mal
- Baseline
- BE
- car
- profiter
- LES MEILLEURS
- les meilleures pratiques
- milliards
- Biométrique
- biométrie
- naissance
- corps
- violation
- plus large
- Développement
- entreprises
- mais
- by
- venu
- CAN
- capacités
- capitalisation
- fournisseur
- maisons
- catastrophique
- Certifications
- challenge
- Change
- prétentions
- classiques
- Charbon
- комбинации
- comment
- Société
- plainte
- complexe
- compromis
- Préoccupations
- Connexions
- considérable
- Les consommateurs
- Prix
- Costs
- pourriez
- critique
- des clients
- Support à la clientèle
- Clients
- Foncé
- Places de marché
- données
- Base de données
- Degré
- designers
- DID
- didn
- différent
- Divulguer
- Commande
- adn
- dollars
- Dropbox
- plus facilement
- même
- les effets
- permettre
- fin
- forcée
- ENGINEERING
- assurer
- Entreprise
- Tout
- entrée
- notamment
- essentiellement
- estimations
- Pourtant, la
- événement
- Chaque
- tout le monde
- exemple
- exemples
- exécuter
- existant
- d'experience
- exponentielle
- exposé
- Exposition
- supplémentaire
- extrait
- facteurs
- échoue
- famille
- Fonctionnalités:
- few
- Prénom
- Fixer
- marqué
- Pour
- frottement
- de
- plein
- avenir
- jeu
- recueillir
- génétique
- obtention
- GitHub
- Go
- Bien
- Gouvernement
- plus grand
- plus de sécurité
- entaille
- les pirates
- piratage
- ait eu
- Maniabilité
- Matériel
- haché
- Vous avez
- Frappé
- Accueil
- Comment
- HTTPS
- IBM
- illégalement
- immédiatement
- immuable
- Impact
- Impacts
- important
- in
- comprendre
- inclus
- Améliore
- increased
- de plus en plus
- inévitable
- d'information
- intrinsèquement
- technologie innovante
- peu sûr
- Intelligence
- interactions
- développement
- introduire
- inestimable
- invariablement
- Investisseurs
- ISN
- IT
- SES
- jpg
- juste
- clés
- Etiquettes
- gros
- principalement
- couche
- conduisant
- Niveau
- comme
- Vit
- emplacements
- Location
- regardé
- recherchez-
- pertes
- LES PLANTES
- a prendre une
- Décideurs
- Mandat
- mandats
- obligatoire
- obligatoire
- Fabricants
- de nombreuses
- Marché
- valeur marchande
- Masse
- allumettes
- Matière
- Mai..
- veux dire
- MFA
- pourrait
- million
- minimum
- mineur
- une mauvaise utilisation
- Mois
- PLUS
- (en fait, presque toutes)
- déménagé
- must
- noms
- Nature
- nécessaire
- négativement
- réseau et
- effets de réseau
- aucune
- maintenant
- nombre
- numéros
- nombreux
- évident
- of
- Offres Speciales
- OKTA
- on
- une fois
- ONE
- en ligne
- uniquement
- or
- organisation
- organisations
- Autre
- nos
- ande
- Outlook
- plus de
- apparié
- paires
- partenaires,
- Mot de Passe
- mots de passe
- Personnes
- phishing
- attaques de phishing
- pièces
- Platon
- Intelligence des données Platon
- PlatonDonnées
- posté
- défaillances
- l'éventualité
- pratiques
- prix
- primaire
- principes
- d'ouvrabilité
- les process
- productivité
- Profils
- protéger
- fournir
- fournit
- public
- augmenter
- plutôt
- RE
- Lire
- Prix Réduit
- en relation
- relation amoureuse
- relativement
- famille
- reste
- conditions
- bon
- hausse
- Analyse
- Risqué
- Roulés
- s
- SaaS.
- Sécurité
- même
- Épargnez
- savvy
- scénario
- sécurisé
- sécurité
- sur le lien
- voir
- Session
- Partager
- commun
- partage
- pénurie
- devrait
- étapes
- unique
- mou
- petit
- So
- Réseaux sociaux
- Ingénierie sociale
- quelques
- Sponsorisé
- échelonnement
- agrafe
- étapes
- Arrêter
- stockée
- structures
- réussi
- tel
- Support
- combustion propre
- Prenez
- talentueux
- ciblage
- équipes
- Essais
- que
- qui
- Les
- El futuro
- le monde
- leur
- puis
- Là.
- Ces
- l'ont
- this
- menace
- trois
- ticketing
- à
- aujourd'hui
- jeton
- arbre
- oui
- vraiment
- Vérité
- sous
- malheureusement
- expérience unique et authentique
- unicité
- contrairement à
- improbable
- jusqu'à
- convivialité
- utilisé
- d'utiliser
- incontournable
- Utilisateur
- Expérience utilisateur
- utilisateurs
- ux
- Plus-value
- Véhicules
- attendez
- we
- plus faible
- web
- WELL
- ont été
- Quoi
- quand
- qui
- tout en
- WHO
- largement
- sera
- comprenant
- world
- années
- Rendement
- Vous n'avez
- zéphyrnet