La meva contrasenya UB només a la UB

El 2012 la xarxa social LinkedIn, que allotja currículums i manté en contacte professionals de tot el món, va patir una violació de dades o data breach. Els usuaris de LinkedIn s’identifiquen amb una adreça de correu i una contrasenya triada per ells mateixos. Un total de 164 milions d’aquests identificadors van ser robats i van romandre ocults fins que al maig d’enguany es van posar a la venda a un mercat de la Web profunda o Deep Web.

No és estrany fer servir el nostre compte de correu @ub.edu per donar-nos d’alta a portals i serveis relacionats amb el món de la docència o del nostre perfil professional, la nostra ferma recomanació però, és que, quan accedim a webs no UB i ens identifiquem amb el compte ub,  triem una contrasenya diferent a la que fem servir a la UB.

En el cas de LinkedIn, més de 1500 comptes de correu de la UB es troben entre les dades que s’han fet públiques (“dades compromeses”).

I jo, estic afectat?

pwnNoLa verificació és molt fàcil: entreu a la pàgina web https://haveibeenpwned.com/ i introduïu-hi una adreça de correu vostra sigui de la UB, de gmail, de yahoo, etc.

Si la pàgina es torna verda, us dirà que “good news”, significa que l’adreça de correu no s’ha vist compromesa.

pwnYesSi la pàgina es torna vermella, vol dir que aquesta adreça s’ha fet pública com a conseqüència d’algun data breach .

La mateixa pàgina ens informarà de  quin/quins llocs web han estat atacats i quan.

 

Què hem de fer?

Cal valorar diverses possibilitats:

  • Si no recordem haver-nos identificat per cap motiu en els llocs web que ens diu, pot ser que algú altre hagi fet servir la nostra adreça de correu i una contrasenya de collita pròpia per registrar-se en el lloc. Com que això és una usurpació de credencials, podem fer servir les eines del lloc web per donar de baixa el nostre compte i desvincular-lo del lloc.
  • Si realment ens havíem donat d’alta al lloc web de manera conscient, caldrà immediatament canviar-nos la contrasenya amb les eines del lloc web. La mateixa pàgina https://haveibeenpwned.com, quan es torna vermella, ja ens diu quines dades nostres han estat divulgades (“Compromised data”) i podrem valorar l’abast del perjudici.
  • Si, en el pitjor dels casos, ens vam identificar en algun lloc web amb una adreça de correu I LA SEVA CONTRASENYA ASSOCIADA, caldrà canviar immediatament aquesta contrasenya, ja que qualsevol hacker podria fer servir el nostre correu per cometre actes punibles.
  • En cas de tractar-se d’una adreça de correu ub.edu, no cal preocupar-se, ja que amb l’actual política de contrasenyes de l’Àrea TIC, que obliga a canviar-les cada 6 mesos, és gairebé impossible que encara tingueu la mateixa contrasenya que el 2012 (a menys que, per casualitat, l’hàgiu repetit i torni a ser la mateixa que el 2012, és clar).

Acabem aquesta entrada insistint en el fet de no fer servir MAI la mateixa contrasenya de la UB amb webs i serveis no UB on accediu amb el compte @ub.edu.

4 comentaris a “La meva contrasenya UB només a la UB

  1. Retroenllaç: Els data breach: què són i què fer si el meu compte de correu està afectat | BlogTIC UB

    • La Universitat de Barcelona té signat un acord de col·laboració amb Microsoft Ibérica i un conveni específic, també amb aquesta entitat, per l’ús del servei Office 365. En els contractes signats, d’entre altres tenim les següents garanties:
      – Les dades allotjades al servei Office 365 són propietat única i exclusivament de la Universitat de Barcelona.
      – Microsoft es compromet a no fer servir mai aquestes dades per altres fins que no siguin els estipulats als contractes.
      – Microsoft mai revelarà dades de la Universitat de Barcelona a terceres persones, ni tan sols a autoritats que no les sol·licitin amb els procediments legalment establerts.
      – Les dades de la Universitat de Barcelona estan allotjades als Data Center que Microsoft té establerts físicament a la Unió Europea.
      – La Universitat de Barcelona pot prescindir en qualsevol moment del servei Office 365, podent recuperar la totalitat de les seves dades, i Microsoft té l’obligació de destruir totes les còpies de seguretat que obrin al seu poder amb aquestes dades.
      – La Universitat de Barcelona revisa periòdicament les auditories de seguretat i les empreses subcontractades per Microsoft, per fer un seguiment rigorós.
      – Per altra part, els contractes signats entre la Universitat de Barcelona i Microsoft contenen les garanties suficients en matèria de protecció de dades, segons l’Agencia Española de Protección de Datos.
      – El servei Office 365 té la certificació de seguretat ISO 27001, la certificació FISMA (Federal Information Security Management Act) i recentment ha obtingut la certificació de conformitat de nivell alt de l’Esquema Nacional de Seguridad, d’obligat compliment per a les administracions públiques.

      En conclusió, Office 365 de Microsoft té suficients garanties de seguretat, tant tecnològiques com jurídiques, per tal que la Universitat de Barcelona en faci ús d’aquest servei.

      Atentament

Respon a Anon Imus Cancel·la les respostes

L'adreça electrònica no es publicarà.