Hasła ponad 10 milionów polskich kont email dostępne do pobrania w sieci

dodał 17 grudnia 2017 o 00:46 w kategorii Prywatność, Włamania  z tagami:
Hasła ponad 10 milionów polskich kont email dostępne do pobrania w sieci

W ujawnionej niedawno ogromnej bazie danych zawierającej ok. 1,4 miliarda adresów email i haseł można znaleźć ponad 10 milionów kont z polskimi adresami. Poniżej przyglądamy się bliżej tej bazie i poddajemy ją małej analizie.

Kilka dni temu świat bezpieczeństwa obiegła wiadomość o odkryciu bazy danych zawierającej 1,4 miliarda kont poczty elektronicznej z hasłami zapisanymi jawnym tekstem. Dzięki współpracy z badaczami pragnącymi zachować anonimowość ustaliliśmy, że w bazie tej znajduje się ponad 10 milionów kont w domenie .PL i otrzymaliśmy wyniki ich analizy.

Skąd te dane

Omawiana baza zawiera połączony zbiór kilkuset wycieków danych, zarówno wcześniej znanych jak i nieznanych. Różni się jednak od danych dostępnych do tej pory tym, że dane zamieszczono w jednym zbiorze oraz tym, że złamano hasła przypisane do poszczególnych adresów email. Oznacza to, że każdy z 1,4 mld adresów email w bazie połączony jest z jawnie zapisanym hasłem. Dane w większości mają już swoje lata – jednak w wielu przypadkach nadal mogą być aktualne.

W bazie prawdopodobnie znajduje się dużo więcej niż 10 milionów polskich kont – wielu rodaków korzysta ze skrzynek w innych domenach niż .PL, jednak nie da się w łatwy sposób ich w bazie znaleźć i policzyć. Z tego powodu wszystkie przedstawione poniżej statystyki będą dotyczyły wyłącznie adresów email w domenie .PL.

Rzut oka na statystyki

Wszystkich par email:hasło w domenie .PL w bazie znaleźć można 13 215 257. Unikatowych adresów email znaleźć można 10 496 798. Oznacza to, że dla ok. 2,7 miliona kont w bazie znajduje się więcej niż 1 hasło. Może się zatem zdarzyć, że w bazie znajdzie się kilka Waszych starych haseł w różnych wariantach, co może pomóc włamywaczom odgadnąć wg jakiego wzoru swoje hasła tworzycie.

Lista 50 najpopularniejszych domen w bazie:

Nie ma tutaj żadnego zaskoczenia – w większości analogicznych zbiorów wyniki są podobne. Dużo ciekawsze są jednak hasła – wg naszej wiedzy do tej pory nie udostępniono tak obszernych statystyk prawdziwych polskich haseł.

Oto lista najpopularniejszych 100 haseł na podstawie wszystkich 13,2 milionów rekordów.

Analiza listy haseł pokazuje, że mamy na niej:

  • 43 imiona: 18 damskich, 25 męskich (6 z „1” na końcu”),
  • 17 różnych „wzorków z klawiatury” takich jak np. zaq12wsx czy qwerty,
  • 16 haseł składających się z samych cyfr,
  • 8 słów „miłosnych” (misiek, kochanie, myszka, misiaczek, niunia, kochamcie, kocham, misiek1),
  • 3 razy występuje nieśmiertelna dupa (dupa, dupadupa, dupa123),
  • 3 razy samo hasło (haslo, haslo1, password),
  • 3 razy to co mamy przed nosem (komputer, komputer1, samsung),
  • 2 hasła patriotyczne (polska, polska1),
  • 1 klub sportowy (barcelona),
  • plus cztery hasła z kategorii „inne” (lol123, dragon, matrix, master).

Rozkład długości haseł:

Inne cechy haseł:

  • tylko małe litery: 6 002 860 (45.43%),
  • tylko duże litery:  56 362 (0.43%),
  • tylko cyfry: 878 898 (6.65%),
  • pojedyncza cyfra na końcu: 1 359 345 (10.29%),
  • dwie cyfry na końcu: 1 461 088 (11.06%),
  • trzy cyfry na końcu: 736 211 (5.57%).

Ostatnia cyfra:

Z listy uzyskanej z bazy wyeliminowane zostały ewidentne przypadki, gdzie ktoś zakładał tysiące kont z tym samym hasłem. Nie wiemy, z jakiego serwisu te dane pochodziły, ale hasła wyglądały tak:

Powiązane z nimi adresy email były ewidentnie tworzone na potrzeby jakiegoś większego botnetu (w podobnych lub identycznych tanich domenach, tworzone wg takiego samego schematu).

Co jeszcze można znaleźć w bazie

Kilka innych ciekawych wyszukiwań w bazie i ich statystyki:

Pytania i odpowiedzi

Pytanie: Czy jestem w bazie?

Odpowiedź: Jeśli nurtuje Was takie pytanie, to niestety nie możemy pomóc. Możecie za to sprawdzić to na stronie HaveIBeenPwned. To bezpieczny serwis, nie ukradnie Waszego emaila i nie zacznie Was spamować. Baza, w której wyszukuje HaveIBeenPwned jest w dużej mierze zbieżna z tą analizowaną powyżej.

Pytanie: Skąd mogę pobrać bazę?

Odpowiedź: Niestety nie możemy udzielić takiej informacji.

Pytanie: Czy pracownicy mojej firmy są w bazie?

Odpowiedź: HaveIBeenPwned ma darmową usługę informowania o obecności konkretnej domeny w wyciekach danych.

PS. Zmieńcie stare hasła