Ukradli takmer 2 miliardy hesiel
Troy Hunt, zakladateľ služby Have I Been Pwned (HIBP), nedávno oznámil, že spracoval jednu z doteraz najrozsiahlejších zbierok ukradnutých prihlasovacích údajov. Konkrétne sa jedná o takmer 1,957 unikátnych e-mailových adries a 1,3 miliardy hesiel. Z nich je približne 625 miliónov nikdy predtým nebolo zaznamenaných. Tento obrovský súbor údajov pochádza od analytickej bezpečnostnej spoločnosti Synthient. Tej sa podarilo zhromaždiť kompromitované dáta z viacerých zdrojov, vrátane starších únikov aj nových protokolov malvérov typu infostealer.
Hunt vo svojom blogu vysvetľuje, že nejde o únik z jednej firmy, ale o veľkú zostavu dát poskladanú zo stoviek až tisícov rôznych zdrojov. Výskumníci ich našli na darknetových stránkach, fórach a v rôznych cloudových úložiskách, kde sa objavili zoznamy e-mailov a hesiel používané na automatické skúšanie prihlásení.
Samotný Hunt skonštatoval, že väčšiu databázu uniknutých údajov ešte nikdy nevidel. Veľkosť tohto úniku je alarmujúca nielen svojim rozsahom, ale aj dôsledkami. Hackeri môžu takto veľmi efektívne spúšťať automatizované útoky („credential stuffing“), keďže majú k dispozícii presné kombinácie e-mail/heslo, ktoré môžu skúšať na rôznych platformách.
Tieto útoky často fungujú práve preto, že veľa ľudí používa jedno a to isté heslo na viacerých účtoch. Okrem toho veľká časť týchto údajov pochádza z infostealer malvérov. Tie potichu zbierajú prihlasovacie údaje priamo z infikovaných zariadení, ktoré môžu obsahovať aktuálne a aktívne kombinácie používateľských mien a hesiel.
Bezpečnostný šok
Experti zo Synthient po zozbieraní dát poskytli celý súbor údajov Troyovi Huntovi, aby ich mohol zaradiť do svojej služby. Vďaka tomu sa čo najviac ľudí dozvie, že ich účty sú v ohrození. Môžu tak pohotovo konať a rýchlo si zmeniť heslá, čím sa tieto ukradnuté informácie stanú pre kyberzločincov menej využiteľné.
Troy Hunt zároveň pripomína, že 80 % týchto e-mailových adries nemá nič spoločné s Gmailom, aj keď sa v správach často objavuje odkaz na Gmail. Podľa neho je totiž len zlomok z tých 1,9 miliardy adries pre Gmail.
A čo môžete urobiť, ak sa obávate, že zrovna váš e-mail je medzi tými uniknutými? Hunt odporúča ísť na web Have I Been Pwned, zadať svoju adresu a skontrolovať, či sa nachádza v tejto novej, masívnej databáze. Ak je váš e-mail uvedený, je rozumné okamžite zmeniť heslá na všetkých službách, kde ste daný e-mail používali a aktivovať dvojfaktorové overovanie všade, kde je to možné.
Okrem toho bezpečnostní experti radia používať silné a unikátne heslá, ideálne vytvorené pomocou správcu hesiel. Ten vám pomôže generovať a ukladať náhodné heslá pre každú službu zvlášť. Aktivácia dvojfaktorového overenia je pri takomto rozsahu únikov prakticky nevyhnutnosťou, pretože výrazne znižuje riziko, že útočník využije kompromitované prístupové údaje.
