How to prevent ‘zombie accounts’ from haunting your digital identity

Tony Bradley @TheTonyBradley  

  • Jan 24, 2013 3:30 AM

dormant_primary-100022790-large

Zombies are a pervasive cultural theme these days. We have no shortage of zombie-apocalypse movies and literature, and the United States military and the Center for Disease Control even offer tongue-in-cheek zombie-response plans. But there are other zombies that don’t get the attention they deserve—the zombie accounts you have lingering around the Internet.

Stop and consider how many different websites, social networks, and other online services you’ve joined over the years. For that matter, think of all of the software, mobile apps, browser plug-ins, and other things you’ve installed on your PC or mobile devices.

How many of them do you use on a regular basis? And how many of them still link to your Facebook or Twitter profiles? More important, how many of them do you actively manage and update to ensure that they’re properly protected?

Here are the dangers to watch for, plus a few tips for dealing with the user accounts that just won’t die.

The undead: A major headache for the living

I haven’t used MySpace.com in ages; it has probably been at least five years since I’ve even logged in to the once-dominant social network. But as it turns out, I still have an active account there. I needed a couple tries to recall (or guess, really) my login email and password, but I got in.

Once I logged in, I found information about where I lived and worked, and a few invitations to play online games from early 2009, as well as connections to friends and their personal information. I can all but guarantee that none of those friends has thought about MySpace in years, either.

Haven’t used MySpace in a while? It looks nothing like it used to, and the personal information you posted there years ago could come back to hurt you.

Many people use only simple, easily remembered passwords across sites and services that don’t have access to sensitive data. Secure password practices suggest that you should use unique, complex passwords for all sites, but many people do so only for banks, credit cards, and maybe social networking accounts.

Using the same password on multiple sites is a bad idea, though. Even online platforms that don’t have access to financial information or Social Security numbers can still reveal seemingly innocuous details, providing hackers with clues for breaking into your other accounts. My MySpace profile, for instance, contains personal details such as the name of my high school and my zodiac sign—providing hints about things that sites commonly use as authentication questions.

Wolfgang Kandek, CTO of security firm Qualys, learned the hard way that reusing passwords can backfire. Kandek says, “I used to use a common ‘beater’ password for these types of sites, but it recently came back to haunt me when my password at Stratfor leaked and in the subsequent inventory I found that I had used it for many sites that I have come to consider important.”

Kevin Haley, director of Symantec Security Response, warns that zombie accounts could get hacked, and that the data shared with those accounts could be stolen or exposed—but he also notes that the risk isn’t necessarily any greater than it is for the sites you actively use.

Keep in mind, however, that more-obscure sites and services don’t have the resources of Facebook or Google, and may not be as actively maintained and protected.

Deactivate or delete unused accounts and applications

If you’re not going to use a social network, app, or online service any longer, shut down your account. In many cases people simply walk away and stop using a tool or service, but leave it active and do nothing to remove or protect any information it has access to.

Many sites and services don’t have a defined data-retention policy, so as far as you know the data you posted to your account could be retained indefinitely. A server breach or compromise years from now could expose information that you forgot you ever even shared.

Deactivating or disabling accounts you don’t use any longer can keep your personal data out of harm’s way, but just because you delete your account doesn’t necessarily mean your data is gone for good.

Paul Henry, security and forensic analyst for security firm Lumension, cautions that deactivating an account and removing sensitive data is easier said than done. “Look at sites like Facebook—you really have to work to remove your data. Even if you delete your information, it will still be around for at least 30 days. And if you then log back in within that 30-day window, they’ll keep your information forever, even if you redelete.”

Henry also stresses that unused applications and plug-ins are a bigger threat than the possibility of a forgotten website being hacked. Odds are good that you aren’t patching and updating software you aren’t even using. When attackers find vulnerabilities in those programs, they become an easy back door for compromising your PC.

Part of the problem is that people rarely make a conscious decision to pull the plug on a site or service. You might just stop visiting a site frequently, and eventually forget about it entirely. It takes a little work to stay on top of these things, but you should make the effort to ensure that you don’t expose yourself to undue risk or leave sensitive information vulnerable.

Use a password-management utility

Using a password manager such as LastPass to generate and store unique passwords for all your accounts can prevent further damage if one of your accounts is compromised.

It isn’t easy to come up with unique passwords, never mind keeping track of all of them. A 2012 survey found that most adults have five or more unique passwords, and that nearly 10 percent report having 20 or more passwords. Major data breaches over the past few years, however, have exposed the fact that many of those passwords are easily guessed strings(like “12345” and “password”) that provide essentially no security at all.

Kandek learned his lesson after the Stratfor incident. It prompted him to change his behavior and start using a password manager to generate single-use passwords rather than reusing the same password over and over. “I have been very disciplined, and it has proven quite workable and useful. I use LastPass because they support Linux and Chromebooks well and offer two-factor authentication.”

Of course, an online service like LastPass is itself a risk, so it’s not exactly a silver bullet. There was some concern in 2011 that LastPass may have been breached, but that turned out to be an overreaction to anomalous network traffic.

Nevertheless, be sure to follow these tips and take steps to deactivate or delete unused services and applications, or your zombie accounts will eventually come back to haunt you.

 

————————- EN ESPAÑOL

Cómo evitar que las cuentas de zombies rondando en coche de su identidad digital

 

Los zombis son un tema cultural omnipresente en estos días. No tenemos ninguna escasez de películas apocalipsis zombie-y la literatura, y los militares de Estados Unidos y el Centro para el Control de Enfermedades ofrecen incluso la lengua en la mejilla  de respuesta a los planes de zombis . Pero hay otros zombis que no reciben la atención que merecen, las cuentas de zombies que han persistentes en todo el Internet.

Detener y considerar los diferentes sitios web como muchos, redes sociales y otros servicios en línea que participes en los últimos años. Por lo demás, piensa en todo el software, las aplicaciones móviles, plug-ins, y otras cosas que ha instalado en su PC o dispositivos móviles.

¿Cuántos de ellos se utiliza de forma regular? ¿Y cuántos de ellos siguen enlace a su Facebook o perfiles de Twitter? Más importante aún, ¿cuántos de ellos te activamente administrar y actualizar para asegurarse de que están correctamente protegidos?

Estos son los peligros que debe vigilar, además de algunos consejos para lidiar con las cuentas de usuario que no acaba de morir.

Los muertos vivientes: un dolor de cabeza para los vivos

No he utilizado en MySpace.com edades, ha sido, probablemente, al menos cinco años desde que he conectado aún a la red social una vez dominante. Pero como resulta que, aún tengo una cuenta activa allí. Necesitaba un par de intentos para recuperar (o adivinar, en realidad) mi correo electrónico y la contraseña, pero me dio pulg

Una vez conectado, he encontrado información acerca de donde yo vivía y trabajaba, y algunas invitaciones para jugar juegos en línea a partir de principios de 2009, así como las conexiones con amigos y su información personal. Me pueden todos sino garantizar que ninguno de esos amigos se ha pensado en MySpace en años, tampoco.

¿No han utilizado MySpace en cuando? Se parece en nada a lo que solía, y la información personal que usted fijó allí hace años podría volver a hacerte daño.

Muchas personas utilizan sólo simples contraseñas fáciles de recordar todos los sitios y servicios que no tienen acceso a los datos confidenciales. Prácticas seguras contraseña sugieren que se debe utilizar contraseñas únicas y complejas para todos los sitios, pero muchas personas lo hacen sólo para los bancos, tarjetas de crédito y cuentas de redes sociales tal vez.

Usar la misma contraseña en varios sitios es una mala idea, sin embargo. Incluso las plataformas en línea que no tienen acceso a la información financiera o números de Seguro Social todavía pueden revelar detalles aparentemente inocuos, proporcionando hackers con pistas para irrumpir en sus otras cuentas. Mi perfil de MySpace, por ejemplo, contiene datos personales como el nombre de mi escuela y mi signo del zodiaco, proporcionando pistas sobre las cosas que los sitios utilizan comúnmente como preguntas de autenticación.

Wolfgang Kandek, CTO de la firma de seguridad Qualys , aprendió por las malas que las contraseñas reutilización puede ser contraproducente. Kandek dice: “Solía ​​usar una contraseña común” beater “de este tipo de sitios, pero recientemente volvió a atormentarme cuando mi contraseña en Stratfor filtró y en el subsiguiente inventario me di cuenta que lo había usado para muchos sitios que He llegado a considerar importante “.

Kevin Haley, director de Symantec Security Response , advierte que las cuentas zombie podría ser hackeado, y que los datos compartidos con esas cuentas pueden ser robados o expuestos, pero también señala que el riesgo no es necesariamente mayor que para los sitios que utilizan activamente.

Tenga en cuenta, sin embargo, que los sitios más oscuros-y servicios que no cuentan con los recursos de Facebook o Google, y puede no ser tan activamente mantenidos y protegidos.

Desactivar o eliminar las cuentas no utilizadas y las aplicaciones

Si no vas a utilizar una red social, aplicación o servicio en línea por más tiempo, cerrar su cuenta. En muchos casos la gente simplemente a pie y dejar de utilizar una herramienta o servicio, pero se deja activo y no hacen nada para eliminar o proteger cualquier información que tenga acceso.

Muchos sitios de web y servicios no tienen una definida política de retención de datos, así como lo que usted sabe los datos que se registraron en su cuenta podría mantenerse indefinidamente. El incumplimiento servidor o años de compromiso a partir de ahora podría exponer información que se le olvidó alguna vez compartieron.

Desactivar o deshabilitar cuentas no utiliza por más tiempo puede mantener sus datos personales fuera de peligro, pero el hecho de que haya borrado su cuenta, no necesariamente significa que sus datos se ha ido para siempre.

Paul Henry, seguridad y analista forense para la firma de seguridad Lumension , advierte que la desactivación de una cuenta y la eliminación de datos sensibles es más fácil de decir que de hacer. “Mira a sitios como Facebook-que realmente tienen que trabajar para eliminar los datos. Aunque elimine su información, todavía será de alrededor de por lo menos 30 días. Y si luego vuelva a entrar dentro de ese plazo de 30 días, van a mantener su información para siempre, incluso si redelete “.

Henry también hace hincapié en que las aplicaciones no utilizadas y plug-ins son una amenaza mayor que la posibilidad de un sitio web olvidado de ser hackeado. Las probabilidades son buenas que usted no es parchear y actualizar el software ni siquiera está utilizando. Cuando los atacantes encontrar vulnerabilidades en dichos programas, se convierten en una puerta trasera fácil de poner en peligro su PC.

Parte del problema es que la gente rara vez tomar una decisión consciente para tirar del enchufe en un sitio o servicio. Usted sólo puede dejar de visitar un sitio con frecuencia, y, finalmente, olvidarse de él por completo. Se necesita un poco de trabajo para estar al tanto de estas cosas, pero hay que hacer el esfuerzo para asegurar que no se exponga a riesgos innecesarios o dejar información sensible vulnerable.

Utilice un programa de gestión de contraseñas

El uso de un gestor de contraseñas como LastPass para generar y almacenar contraseñas únicas para todas sus cuentas puede prevenir un daño mayor si uno de sus relatos se ve comprometida.

No es fácil llegar con contraseñas únicas, no importa el seguimiento de todos ellos. Una encuesta de 2012 encontró que la mayoría de los adultos tienen cinco o más contraseñas únicas, y que casi el 10 por ciento dice que tiene 20 o más contraseñas. Las principales violaciones de datos durante los últimos años, sin embargo, han puesto de manifiesto el hecho de que muchas de esas contraseñas fáciles de adivinar cadenas (como “12345” y “password”) que proporcionan esencialmente ninguna seguridad en absoluto.

Kandek aprendido la lección después del incidente Stratfor. Se lo llevó a cambiar su comportamiento y comenzar a usar un gestor de contraseñas para generar contraseñas de un solo uso y no volver a utilizar la misma contraseña una y otra vez. “He sido muy disciplinado, y ha demostrado ser muy viable y útil. Yo uso LastPass porque apoyan Linux y Chromebooks y así ofrecer autenticación de dos factores “.

Por supuesto, un servicio en línea como LastPass es en sí mismo un riesgo, así que no es exactamente una bala de plata. Hubo cierta preocupación en 2011 que  LastPass podría haber sido violada , pero que resultó ser una reacción exagerada del tráfico de red anómalo .

Sin embargo, asegúrese de seguir estos consejos y tomar medidas para desactivar o eliminar los servicios no utilizados y las aplicaciones, o sus cuentas de zombies eventualmente volverá en tu contra.

 

http://www.pcworld.com/article/2026090/how-to-prevent-zombie-accounts-from-haunting-your-digital-identity.html#tk.nl_secur

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s