Zawartość
- Twórca programu „Czy ja byłem” Troy Hunt ogłosił naruszenie danych w kolekcji nr 1.
- Zbiór plików zawiera miliony zainfekowanych adresów e-mail i haseł.
- Zaatakowane dane prawdopodobnie pochodzą z 2000 baz danych.
Naruszenia danych stały się w dzisiejszych czasach tak powszechne, że prawie się od nich odrętwialiśmy. Jednak Troy Hunt, badacz bezpieczeństwa i twórca programu Have I Was Pwned, właśnie zgłosił naruszenie danych, które będzie bolało przez długi czas: Kolekcja nr 1.
Kolekcja nr 1 to ogromny plik, który został niedawno przesłany do usługi przechowywania w chmurze Mega. Plik zawiera 12 000 osobnych plików zawierających 87 GB danych.
Co jest w danych, możesz zapytać? 772 904 991 unikalnych adresów e-mail i 21 222 975 unikatowych haseł. Istotnym problemem jest to, że skradzione hasła mają spękane zabezpieczenia. Właśnie dlatego hasła są wyświetlane jako zwykły tekst, a nie szyfrowane kryptograficznie w przypadku naruszenia bezpieczeństwa witryn.
Teraz wysyłam wiadomości e-mail do 768,253 osób, które subskrybują powiadomienia, oraz kolejnych 39 923 monitorujących domeny…
- Troy Hunt (@troyhunt) 16 stycznia 2019 r
Te złamane hasła pozwalają na drugi problem, praktykę zwaną upychaniem poświadczeń. Wypełnianie poświadczeń ma miejsce, gdy naruszona kombinacja nazwy użytkownika lub adresu e-mail / hasła jest następnie wykorzystywana do uzyskania dostępu do konta innej osoby. Atakujący nie muszą używać siły ani odgadywać haseł - mogą po prostu zautomatyzować logowanie.
Wypełnianie poświadczeń jest szczególnie niepokojące dla tych, którzy używają tej samej kombinacji nazwy użytkownika i hasła na różnych stronach internetowych.
Tak się składa, że Kolekcja nr 1 zawiera prawie 2,7 miliarda kombinacji. Zdarza się również, że około 140 milionów adresów e-mail i 10 milionów haseł z kolekcji nr 1 jest nowością w bazie danych Have I Was Pwned.
Nie zapominajmy również o zdecentralizowanym charakterze kolekcji nr 1. Poprzednie naruszenia zwykle miały wspólną srebrną podszewkę: każde naruszenie można było powiązać z jedną stroną internetową. Nie dotyczy to naruszenia, które obejmuje naruszenia w 2000 bazach danych.
W takim przypadku jedyną możliwą srebrną podszewką jest to, że Hunt nie wie, czy każde naruszenie w Kolekcji nr 1 jest uzasadnione. Jednak Hunt powiedział również, że jest to „największe pojedyncze naruszenie, jakie kiedykolwiek zostało załadowane do HIBP”.
Co powinienem zrobić?
Najpierw przejdź do strony Have I Was Pwned i wpisz swój adres e-mail. Witryna informuje, czy konto, które korzysta z tego adresu e-mail, zostało przejęte.
Jeśli korzystałeś już z usługi Have I Been Pwned, powinieneś otrzymać powiadomienie o naruszeniu. Prawie połowa użytkowników witryny jest zaangażowana w naruszenie, więc pamiętaj o tym, jeśli jesteś członkiem.
Stamtąd kliknijHasła zakładka na górze Have I Been Pwned. Hasła Pwned informują, czy hasło zostało naruszone, i pomagają używać silnych haseł.
Jeśli masz zepsuty adres e-mail i hasła, nadszedł czas, aby oczyścić swoje hasła. Jeśli witryna obsługuje tę funkcję, użyj uwierzytelniania dwuskładnikowego. Może nie być niezawodny, ale uwierzytelnianie dwuskładnikowe pomaga odwieść większość osób, które mogą chcieć uzyskać dostęp do konta.
Możesz także uniknąć używania tego samego hasła w wielu witrynach. Ze względów wygody kuszące jest używanie tego samego hasła, ale praktyka ta jest niebezpiecznym obosiecznym mieczem.
Na koniec użyj menedżera haseł. 1Password, Dashlane i LastPass to trzy bardziej popularne opcje, choć możesz także użyć sprawdzonej metody pisania i pisania.
Och, i zmień swoje hasło. Zdecydowanie zmień swoje hasło. Zrób z tego coś złożonego, czegoś, czego nie można znaleźć w słowniku.
