Troy Hunt poinformował dziś o znalezieniu olbrzymiego zestawu danych pochodzących z różnych wycieków, znalezionych na jednej z usług cloud storage.
Dwanaście tysięcy plików, w sumie 87GB danych – loginów i hashy haseł, także już złamanych.
Na liście plików z wyciekami znajdują się domeny z końcówką .pl, należy się spodziewać, że ich zawartość pochodzi z baz danych użytkowników tych serwisów.
Troy odfiltrował śmieciowe dane, zawęził bazę do unikalnych adresów e-mail i wynikowe ponad 779,2 mln adresów e-mail dodał do bazy Have I Been Pwned. Listę nazwano Collection #1.
Na ponad miliard unikalnych par: email i hasło, unikalnych haseł jest tylko ponad dwadzieścia jeden milionów!
Jak widać nie pomagają szkolenia z security awareness, statystyczny użytkownik korzysta z haseł popularnych (a więc łatwych do złamania metodą słownikową) lub, co gorsze – używa tego samego hasła w wielu miejscach.
Jak sprawdzić czy dotyczy mnie wyciek?
Jeśli chcesz sprawdzić, czy twoje dane do logowania zostały znalezione w sieci, wejdź na serwis https://haveibeenpwned.com/ i podaj swój adres e-mail.
Jeśli jesteś w bazie – masz pecha.
Nie panikuj. Możliwe że twój e-mail wyciekł dawno i jeśli stosujesz się do zasad bezpieczeństwa w Internecie to hakerzy już nie maja dostępu do twojego konta/kont.
Jeśli jeszcze tego nie robiłeś/robiłaś – zmień hasła na kontach skojarzonych z adresem e-mail, koniecznie na różne (unikalne dla każdego serwisu). Użyj menadżera haseł, na przykład KeePass, bo jeśli je wszystkie zapamiętasz to znaczy, że są one za słabe.
Zastanów się do czego hackerzy mogą dzięki temu adresowi e-mail już mieć dostęp (konta e-mail, fora, serwisy aukcyjne, sklepy, ). Oszacuj możliwe szkody.
Może na koncie pocztowym leży w folderze Wysłane skan Twojego dowodu osobistego, który był potrzebny do kredytu?
Sprawa może się skomplikować i z wycieku hasła do forum o gotowaniu robi się poważne przejęcie tożsamości…
Uff, nie ma mnie w bazie!
Jeśli nie jesteś w bazie („Good news — no pwnage found!”) także nie jesteś bezpieczny. Twoje dane mogły już wyciec, jednak nie zostały odnalezione – wyciek nie jest upubliczniony.
Przeglądnij swoje konta w Internecie, sprawdź historię logowania, aktywne sesje.
Zastosuj opisane powyżej kroki dla haseł.
Rozważ używanie drugiego składnika logowania tam gdzie to jest możliwe – token sprzętowy U2F (na przykład Yubikey), tokeny generowane przez aplikacje mobilną (na przykład Google Authenticator) czy ostatecznie kody jednorazowe SMS.