W ciągu ostatnich kilku godzin w sieci pojawiło się mnóstwo artykułów pod alarmującym tytułem „Jedno na pięć kont użytkowników usług Microsoft w rękach hakerów„. Jak się okazuje, tytuł ten jest bardzo daleki od faktycznych danych.
Historia zaczęła się od wpisu na blogu Erica Doerra, pracownika Microsoftu. Eric opisuje w nim, jakie działania podejmuje Microsoft, by chronić konta swoich użytkowników przed włamywaczami i przedstawia statystyki opisujące wyniki tych działań.
Jak Microsoft weryfikuje wycieki
Okazuje się, że Microsoft bacznie przygląda się wszystkim publikowanym w sieci wyciekom haseł użytkowników. Analizowane są nie tylko wycieki, zawierające dane kont usług świadczonych przez Microsoft (Hotmail, Live ID, Xbox itd), ale także wszystkie inne zestawy danych zawierających loginy i hasła użytkowników. Celem analizy jest zablokowanie i wymuszenie zmiany hasła tych kont, których użytkownicy używają tego samego loginu i hasła, jakie zostały ujawnione w wycieku.
Analiza polega na próbie dopasowania ujawnionych loginów i haseł do kont zarejestrowanych na platformach Microsoftu. Automatyczny proces pobiera ujawnione loginy i powiązane z nimi hasła i sprawdza, czy takie same hasła nie są ustawione dla kont Microsoft o tych samych loginach. W przypadku potwierdzenia dopasowania konto jest analizowane pod kątem naruszeń bezpieczeństwa (rozsyłanie spamu, inne rodzaje ataków). Jeśli takie działania miały miejsce, konto jest blokowane a jego posiadacz jest proszony o przejście procesu odzyskiwania konta. Jeśli nie ma śladów złośliwej działalności, właściciel jest proszony tylko o zmianę hasła.
Ekran wymuszenia zmiany hasła (źródło: Microsoft)
Jak wyglądają statystyki?
Jeśli weźmiemy pod uwagę tylko te ujawnione loginy, które pokrywają się z loginami bazy kont Microsoftu, dla 20% nich hasło jest identyczne z tym, ustawił użytkownik w usłudze Hotmail lub LiveID.
Dane różnią się znacznie od twierdzenia „Jedno na pięć kont użytkowników usług Microsoft znajduje się w rękach hakerów„. Dodatkowo statystyki podane przez Microsoft posiadają dość istotne ograniczenia. Po pierwsze, pokrywające się loginy ujawnione w wyciekach danych innych dostawców nie muszą oznaczać tego samego użytkownika. Po drugie, możliwość weryfikacji hasła ograniczona jest tylko dla wycieków, w których ujawniono hasła zapisane otwartym tekstem lub takich, gdzie hasła były zahashowane, lecz udało się je odgadnąć. Ewentualnie istnieje także możliwość porównywania zahashowanych haseł, jeśli zarówno w wycieku, jak i w bazie Microsoftu nie jest stosowane solenie hashy oraz używany jest ten sam algorytm hashowania. Sprawia to, że do opublikowanych statystyk należy podchodzić bardziej jako do ciekawostki, niż twardych danych.
Podsumowanie
Metodologia działania Microsoftu wydaje się dość interesująca. Weryfikując opublikowane wycieki danych pod kątem zbieżności z kontami własnych użytkowników bez wątpienia gigant z Redmond zmniejsza ilość nadużyć w swojej sieci i oferuje klientom większy poziom bezpieczeństwa. O ile więc praktyki Microsoftu zasługują jak najbardziej na pochwałę, o tyle sposób, w jaki dziennikarze przedstawili problem znacząco odbiega od rzeczywistości.
