Varnostni raziskovalci so identificirali in indeksirali doslej najobsežnejšo zbirko ukradenih podatkov, ki vključuje skoraj dve milijardi unikatnih e-poštnih naslovov in 1,3 milijarde gesel. Odkritje je velik alarm in opozorilo za naraščajočo grožnjo, ki jo predstavljajo seznami podatkov, s katerimi kibernetski kriminalci izvajajo napade na uporabniške račune.
Zbirko podatkov je indeksiral priznani avstralski varnostni strokovnjak Troy Hunt na svoji platformi Have I Been Pwned, ki uporabnikom omogoča preverjanje, ali so bili njihovi osebni podatki kdaj ogroženi v znanih vdorih.
Za hekerje koristna zbirka
Hunt in drugi analitiki pojasnjujejo, da tokratni incident ni posledica enega samega, novega vdora v sistem katerega od večjih ponudnikov storitev. Gre za skrbno združeno zbirko, kompilacijo, ki jo je po poročilih sestavila platforma za obveščanje o grožnjah, znana kot synthient.
Ta zbirka združuje podatke iz tisoče različnih že znanih vdorov in uhajanj podatkov. Razlikuje se tudi od tako imenovanih »stealer-logov«, ki se zbirajo neposredno z okuženih računalnikov posameznikov prek zlonamerne programske opreme.
Čeprav so mnogi podatki v zbirki stari več let, je njihova združena moč izjemno nevarna. Kriminalci takšne sezname uporabljajo za izvajanje avtomatiziranih napadov. Pri teh avtomatizirani sistemi (boti) preizkušajo ukradene kombinacije e-poštnih naslovov in gesel na številnih priljubljenih spletnih straneh – od družbenih omrežij in spletnih trgovin do bančnih portalov. Uspešnost teh napadov temelji izključno na slabi varnostni praksi uporabnikov, ki pogosto uporabljajo isto geslo za več različnih storitev.
Kar je pri tej zbirki posebej skrb zbujajoče, je po Huntovih besedah dejstvo, da je vsebovala kar 625 milijonov gesel, ki jih njegova obsežna baza doslej še ni zabeležila. To pomeni, da je obseg prej neznanih, a javno dostopnih gesel bistveno večji, kot se je domnevalo doslej.
Nasveti strokovnjakov
Zaradi obsega zbirke strokovnjaki za kibernetsko varnost ponovno pozivajo k takojšnjemu ukrepanju in izboljšanju digitalne higiene.
- Sprememba gesel: uporabnikom svetujejo, naj pregledajo in nemudoma zamenjajo gesla, zlasti pri vseh ključnih in občutljivih računih (e-pošta, banka, družbena omrežja).
- Upravitelji gesel: priporočajo dosledno uporabo upraviteljev gesel (»password managers«). Ti programi omogočajo ustvarjanje dolgih, zapletenih in – kar je najpomembneje – edinstvenih gesel za vsako spletno mesto posebej, uporabnik pa si mora zapomniti le eno glavno geslo.
- Dvofaktorska avtentikacija (2FA): kjer koli je mogoče, je nujno omogočiti dvofaktorsko avtentikacijo. Ta varnostni mehanizem zahteva dodatno potrditev (na primer kodo z mobilnega telefona) poleg gesla in močno zmanjša tveganje za nepooblaščen dostop, tudi če je geslo ukradeno.
Posamezniki lahko na spletni strani Have I Been Pwned preverijo, ali je bil njihov e-poštni naslov del tega ali katerega koli drugega zabeleženega uhajanja podatkov.
Opozorilo prihaja v času, ko je v Sloveniji uprava za varno hrano, veterinarstvo in varstvo rastlin javnost obvestila o nepooblaščenem dostopu do podatkov v svojem informacijskem sistemu.
