Obsah
- Bol som tvorcom Pwnedu, Troy Hunt oznámil porušenie údajov č. 1.
- Zbierka súborov obsahuje milióny kompromitovaných e-mailových adries a hesiel.
- Zhoršené údaje údajne pochádzajú z 2 000 databáz.
V súčasnosti sú porušenia údajov také bežné, že sme im takmer znecitlivení. Výskumní pracovníci v oblasti bezpečnosti a tvorca autorských diel Troy Hunt však nahlásili porušenie údajov, ktoré bude dlhodobo bolieť: Zbierka # 1.
Zbierka # 1 je rozsiahly súbor, ktorý bol nedávno nahraný do cloudovej služby úložiska Mega. Súbor obsahuje 12 000 samostatných súborov, ktoré obsahujú 87 GB údajov.
Čo je v údajoch, môžete sa opýtať? 772 904 999 jedinečných e-mailových adries a 21 222 975 jedinečných hesiel. Významným problémom sú ukradnuté heslá, ktoré majú prasknuté ochranné hasenie. Z tohto dôvodu sa heslá pri porušení webových stránok zobrazujú ako obyčajný text a nie sú kryptograficky hashované.
Teraz posielame e-mailom 768 253 jednotlivcom, ktorí sa prihlásili na odber upozornení, a ďalších 39 923 osôb, ktoré sledujú domény ...
- Troy Hunt (@troyhunt) 16. januára 2019
Tieto prasknuté heslá umožňujú druhý problém, ktorý sa nazýva plnenie poverovacích údajov. Vyplnenie poverenia je, keď sú porušené kombinácie používateľského mena alebo e-mailu a hesla použité na získanie účtu iného používateľa. Útočníci nemusia brániť heslom sily alebo uhádnuť heslá - môžu len automatizovať prihlásenie.
Plnenie poverení sa týka najmä tých, ktoré používajú rovnakú kombináciu používateľského mena a hesla na webových stránkach.
Je to tak, že zbierka č. 1 obsahuje takmer 2,7 miliardy kombinácií. Stáva sa tiež, že približne 140 miliónov e-mailových adries a 10 miliónov hesiel zo zbierky 1 je v databáze Have I Pwned nové.
Nezabúdajme tiež na decentralizovanú povahu zbierky č. 1. Predchádzajúce porušenia mali zvyčajne spoločnú striebornú podšívku: každé porušenie bolo možné previazať na jednu webovú stránku. Nie je to tak s týmto porušením, ktoré spočíva v porušení v 2 000 databázach.
V tomto prípade je jedinou možnou striebornou podšívkou to, že Hunt nevie, či je každé porušenie zbierky č. 1 legitímne. Hunt však tiež uviedol, že toto je „jediné najväčšie porušenie, ktoré sa kedy načítalo do HIBP.“
Čo mám robiť?
Najprv prejdite na stránku Pustil som sa a napíšte svoju e-mailovú adresu. Táto stránka vás informuje, či bol účet, ktorý používa túto e-mailovú adresu, narušený.
Ak ste už použili možnosť Už som bol zastavený, mali ste dostať upozornenie na porušenie. Takmer polovica používateľov webu je v rozpore s pravidlami, takže ak ste členom, nezabudnite na to.
Odtiaľ kliknite na ikonuheslá v hornej časti stránky Už som bol zastavený. Heslá Pwned vám umožňujú zistiť, či bolo vaše heslo narušené, a pomáha vám používať silné heslá.
Ak máte narušenú e-mailovú adresu a ohrozené heslá, je čas vyčistiť postupy pri používaní hesiel. Ak to web podporuje, použite dvojfaktorové overenie. Nemusí to byť spoľahlivé, ale dvojfaktorové overenie pomáha odradiť väčšinu používateľov, ktorí by chceli mať prístup k vášmu účtu.
Rovnakému heslu sa tiež môžete vyhnúť na viacerých weboch. Je to lákavé použiť rovnaké heslo pre pohodlie, ale prax je nebezpečný dvojsečný meč.
Nakoniec použite správcu hesiel. 1Password, Dashlane a LastPass sú tri z najobľúbenejších možností tam, ale môžete tiež použiť osvedčenú metódu pera a papiera.
Jo, a zmeň svoje heslo. Určite zmeňte svoje heslo. Spravte z neho niečo zložité, niečo, čo v slovníku nenájdete.
