EMAIL i HASŁO – GIGANTYCZNA BAZA W DARKNECIE
2017-12-19
Nawet początkujący haker może korzystać z gigantycznej bazy, zawierającej skojarzony email i hasło.
Plik zawierający niemal 1,5 miliarda rekordów znaleziono w ciemnej sieci. Baza zawiera zagregowane dane z różnych – upublicznionych i nie – wycieków. Jest uporządkowana, interaktywna i ułatwia błyskawiczne wyszukiwanie (czas odpowiedzi 1 s).
Bać się czy nie?
Do każdego adresu e-mail jest przyporządkowane odszyfrowane hasło. Odkrywcy pliku, specjaliści z firmy 4iQ, zweryfikowali próbkę tych danych kontaktując się z podanymi adresami. Użytkownicy potwierdzali autentyczność haseł.
Czy się bać? Niekoniecznie. Ujawnione dane udostępniały hasła nie do samych skrzynek e-mail a do różnego rodzaju portali, gdzie logując się podajemy swój adres e-mail i tworzymy hasło. Część z nich może już być nieaktualna, część była utworzona tylko na chwilowy użytek.
Ale, jeśli masz zwyczaj (zgubny, niestety) używać tego samego hasła do logowania w różnych miejscach, to masz problem.
10 milionów adresów z domenami .pl
Portal Zaufana Trzecia Strona, który przyjrzał się tej bazie, doliczył się ponad 10 milionów adresów z domen o rozszerzeniu .pl. Problem dotyczy więc także polskich użytkowników, z pewnością w liczbie znacząco przewyższającej wspomniane 10 milionów. Przecież wielu z nas korzysta ze skrzynek bez literek pl.
Baza była systematycznie aktualizowana, ostatni zestaw danych oznaczony był datą 29 listopada (odkrycia dokonano 5 grudnia). O wyciekach danych pisaliśmy już np. w tym artykule. Ta baza jest przykładem, że raz wykradzione, dane są dostępne dla przestępców praktycznie bez ograniczeń.
Jak nie tworzyć haseł
Analiza informacji wykazuje, że tworzenie unikalnych haseł jest trudną i niewdzięczną umiejętnością a dla wielu (jeśli nie większości osób) po prostu zbędną. Dominują proste hasła zawierające kolejne liczby np. 123456 (lub bardziej ambitnie 654321), imiona, kombinacje jednych i drugich. Albo zestaw znaków typu „qwerty”.
Przykłady najczęściej powtarzających się haseł (źródło 4iQ)
Dodatkowo, baza jest zorganizowana w taki sposób, że z łatwością można odkryć trend tworzenia haseł przez poszczególne osoby. Nie trzeba chyba wyjaśniać, jak to z pewnością ułatwia życie cyberprzestępcom.
Mając hasło (lub trend jego tworzenia) i adresy hakerzy z łatwością mogą sprawdzić, czy ktoś używa tego hasła w różnych innych okolicznościach: na kontach służbowych, w sklepach, bankach. Analizę dotyczącą haseł możecie znaleźć na stronie ZTS oraz 4iQ.
Akademia Extel jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do menadżerów i pracowników firm. O nowych artykułach informujemy poprzez newsletter. Napisz do nas