Setki milionów haseł wyciekły do przestępców ale to normalne

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35579
Reakcje/Polubienia
24605
Miasto
Trololololo
Setki milionów haseł wyciekły do rąk przestępców, ale to normalne.
Tytuł tego artykułu mógłby brzmieć np. Uwaga, wyciekły setki milionów haseł, ostrzeżcie znajomych!, ale chyba najwyższy czas już skończyć z udawaniem, że tego rodzaju wycieki są czymś niecodziennym i zaskakującym.

Agencja Reutera donosi, że Alex Holden, znany odkrywca dużych zbiorów danych w rękach rosyjskich przestępców, namierzył paczkę zawierającą 272 miliony unikatowych identyfikatorów użytkowników wraz z ich hasłami. Poniżej wyjaśnimy, skąd takie zestawy się biorą i dlaczego uważni Czytelniczki i Czytelnicy naszego serwisu nie muszą się tym przejmować.
300 milionów haseł? To niemożliwe

Pierwszą reakcją na wyciek setek milionów haseł u wielu osób będzie pewnie stwierdzenie „to niemożliwe”. Niestety jest to jak najbardziej możliwe i prawdziwe. Sam wyciek z firmy Adobe obejmował 150 milionów kont – zatem liczby rzędu 300 milionów czy 1,2 miliarda w ogóle nas nie dziwią. Nie oznacza to oczywiście, że liczba ta oznacza liczbę poszkodowanych – często są to różne konta tych samych osób zatem rzeczywista liczba może być niższa.

W tym wypadku, jak twierdzi odkrywca, natrafił on na rosyjskim forum na użytkownika który oferował na sprzedaż bazę 1,17 miliarda par login+hasło. Cena wynosiła 50 rubli, czyli kilka PLN, ale udało się bazę otrzymać w zamian za pozytywny komentarz na forum. Nie potrafimy zbadać wiarygodności tej historii, ale brzmi prawdopodobnie. Alex Holden posortował otrzymaną bazę i znalazł w niej podobno 272 miliony unikatowych identyfikatorów użytkowników. Baza ma rzekomo zawierać:

57 milionów kont z serwisu mail.ru,
40 milionów kont Yahoo,
33 miliony kont Hotmail/Outlook,
24 miliony kont Gmaila.

Czy to jednak prawda?

Prawdopodobnie tak. Alex Holden ma naprawdę dobre kontakty. To on był odkrywcą wycieku bazy Adobe czy ataków na takie firmy jak Target czy JPMorgan. Gdy w roku 2014 ogłosił odnalezienie bazy 1,2 miliarda kont uruchomił serwis WWW, gdzie można było zgłosić swój adres email i sprawdzić, jakie hasło było z nim powiązane. Faktycznie w kilku przeprowadzonych przez nas testach otrzymaliśmy prawidłowe hasła dla kont którymi kiedyś dysponowaliśmy w różnych serwisach. Wszystko wskazuje zatem na to, że Alex Holden rzeczywiście mógł tym razem znaleźć ponad 270 milionów unikatowych par login-hasło.
Alex Holden

Alex Holden
Dlaczego nie trzeba się tym przejmować

Hasła które znalazł Alex Holden prawdopodobnie pochodzą z różnych źródeł. Ogromny udział serwisu mail.ru wskazuje na wyciek pełnej bazy jego klientów (których jest obecnie ok. 60 milionów, zatem dane mogą pochodzić z wcześniejszej wersji bazy). Z kolei wycieki kont Google czy Yahoo wskazują na dwa możliwe źródła informacji. Pierwsze to infekcje przez botnety zbierające wszystkie hasła zapamiętane przez przeglądarki czy wpisywane przez użytkowników. Drugie to włamania do popularnych serwisów internetowych, gdzie użytkownicy zostawiają swój adres email wraz z hasłem a te są następnie pozyskiwane przez włamywaczy. 24 miliony haseł Gmaila może okazać się wcale nie pasować do kont w Gmailu, ponieważ ktoś używa innego hasła do Gmaila niż to, za pomocą którego zarejestrował się na forum.

Jeśli zatem zgodnie z naszymi zaleceniami:

używacie menedżera haseł (zamiast zapamiętywać je w przeglądarce),
nie klikacie w przypadkowe załączniki,
aktualizujecie wtyczki i przeglądarki
używacie innego hasła do kont śmieciowych a innego do ważnych

to nie macie się czym przejmować. Na wszelki wypadek kolejną linię obrony zapewniają także sami usługodawcy (przynajmniej ci więksi), którzy monitorują sytuację i potrafią wykrywać nieautoryzowane logowania nawet gdy przestępca poda od razu prawidłowe hasło. Uważajcie zatem na powiadomienia o naruszeniu bezpieczeństwa Waszych kont.
info:zaufanatrzeciastrona.pl
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry