Fast Company är en stor amerikanska nyhetssajt som ingår i Apple News utbud. Nyligen hackades webbplatsen, innehåll byttes ut och hela Fast Company stängdes av från Apple News. Nu visar utredningen att två saker gjorde intrånget möjligt – dåliga lösenord och en avsaknad av ett regelverk för just lösenord.
Utredningen visar också att Fast Company hackades två gånger, den 25 september och den 27 september. Det var först sedan hackarna publicerat ett obscent inlägg som sedan gick ut via Apple News som intrånget upptäcktes vilket resulterade i att Fast Companys hela webbplats stängdes ned samtidigt som all nyhetsrapportering via Apple News stoppades.
An incredibly offensive alert was sent by Fast Company, which has been hacked. Apple News has disabled their channel.
— Apple News (@AppleNews) September 28, 2022
Ursäkt
“Fast Company’s content management system account was hacked on Tuesday evening. As a result, two obscene and racist push notifications were sent to our followers in Apple News about a minute apart. The messages are vile and are not in line with the content and ethos of Fast Company. We are investigating the situation and have shut down FastCompany.com until the situation has been resolved. Tuesday’s hack follows an apparently related hack of FastCompany.com that occurred on Sunday afternoon, when similar language appeared on the site’s home page and other pages. We shut down the site that afternoon and restored it about two hours later. Fast Company regrets that such abhorrent language appeared on our platforms and in Apple News, and we apologize to anyone who saw it before it was taken down.”
Innan Fast Company hann att plocka ned sin webbplats så hann hackarna publicera sin version av det som inträffat:
https://twitter.com/drahcirwalsh/status/1574937904043855872?s=20&t=XM1Nm6TPSXDWigGDqz1j_Q
Hackarna meddelade också att alla den data, de dokument och uppgifter om Fast Companys alla anställda som stulits vid intrången skulle läggas ut på nätet.
Arbete
Fast Company stod inför ett mer omfattande arbete i att dels utreda intrånget men också att gå igenom sina publiceringssystem för att säkerställa att hackarna inte kunde göra ett återbesök. Det tog åtta dagar med allt vad det innebär i form av tappade annonsintäkter och kostnader i konsulter och egen personal som fick sitta och gå igenom olika delar av de system som företaget använder.
Utredningen visade på stora brister i hela lösenordshanteringen.
- Det gjordes inga kontroller av valda lösenord.
- Det fanns inga krav på viss längd, innehåll eller krav på slumpmässiga lösenord.
- Nyckelpersoner kunde välja enkla lösenord – utan tvåfaktorinloggning
Uppseendeväckande brister för att vara ett så stort mediaföretag kan tyckas men vi alla kan lära oss något av det inträffade.
- Se över dina lösenord
- Använd inte samma lösenord på flera webbplatser
- Slå på tvåfaktor-imloggning överallt där du kan göra det
- Skaffa en lösenordshanterare och funktionen att generera slumpmässiga, långa och krångliga lösenord
Fyra enkla råd och saker som du kan göra – som företag, organisation och som privatperson.
0 kommentarer