Jak sprawdzić czy Twoje konto znalazło się w niedawnych wyciekach

dodał 19 maja 2016 o 14:45 w kategorii Info  z tagami:
Jak sprawdzić czy Twoje konto znalazło się w niedawnych wyciekach

Dostajemy sporo próśb o weryfikację czy dane konto poczty elektronicznej pojawiło się w wycieku z LinkedIn czy Tumblr.com. Nie musicie jednak do nas w tej sprawie pisać – możecie swoje konta sprawdzić sami.

Pojawianie się w sieci wycieków baz danych popularnych serwisów niestety nie jest już wielką sensacją – było ich tyle, że powoli powszednieją nam informacje o kolejnym incydencie. Nie jest też łatwo wszystkie te informacje śledzić, a często brak jest możliwości samodzielnej weryfikacji zawartości ujawnionej bazy. Z pomocą przychodzą wtedy wyspecjalizowane serwisy.

Gdzie szukać

Serwisów oferujących usługę przeszukiwania wycieków baz danych jest kilka, ale ten o najlepszej reputacji to HaveIBeenPwned. Prowadzi go szanowany badacz bezpieczeństwa Troy Hunt i raczej nie mamy powodów sądzić, by adresy email, które tam wpiszecie, wykorzystywał w zły sposób. Wystarczy odwiedzić jego stronę, podać swój adres email i obejrzeć wyniki.

OMG, mieliśmy konto na ToRepublic!

OMG, mieliśmy konto na ToRepublic!

Strona oferuje także automatyczne powiadomienia o pojawieniu się adresu email w bazie wycieków (opcja Notify me) oraz powiadomienia dla całych domen (przydatne dla administratorów – opcja Domain search). Usługi te – o ile się orientujemy – są całkowicie darmowe i działają.

Wadą HaveIBeenPwned jest ograniczony zakres przetwarzanych informacji – właściciel serwisu co prawda dostaje ciekawe bazy, jednak nie wszystkie. Na razie na przykład nie dołączył do zbiorów baz LinkedIn oraz Tumblr. Przeszukiwanie tych baz dla odmiany umożliwia serwis LeakedSource.com, który niestety nie oferuje takiego samego poziomu zaufania (decyzję o skorzystaniu z niego zalecamy poprzedzić analizą ryzyka oraz ewentualnych korzyści).

LeakedSource.com oferuje możliwość weryfikacji czy dany adres (lub cała domena) znajdował się w niedawnych wyciekach (oraz kilku innych dużych bazach). W wariancie darmowym pokazuje liczbę wystąpień dla danego adresu lub maski, w wariancie płatnym może także pokazać adresy email w danej domenie (lub pasujące do określonej maski wyszukiwania) oraz powiązane z nimi hasze haseł. Sprawdziliśmy, że faktycznie wyniki z baz Tumblr oraz LinkedIn są prawdziwe.

LeakedSource i msz.gov.pl

LeakedSource i msz.gov.pl

Podanie swojego adresu email w przypadku gdy znajduje się on już w jakiejś bazie raczej wiele nie zmieni, jednak podawanie go gdy w żadnej bazie nie wypłynął może np. spowodować większy przypływ spamu, zatem pomyślcie, czy chcecie z tego serwisu korzystać.

Kilka statystyk

Przy okazji rzuciliśmy okiem na wyniki w bazie LinkedIn dla kilku polskich instytucji rządowych. Oto liczby wystąpień adresów z poszczególnych domen w bazie LinkedIn:

  • msz.gov.pl: 126 wyników
  • mon.gov.pl: 24
  • sejm.gov.pl: 45
  • kprm.gov.pl: 19
  • abw.gov.pl: 1
  • bbn.gov.pl: 7
  • uke.gov.pl: 19
  • nik.gov.pl: 35
  • prezydent.pl: 9
  • policja.gov.pl: 30

Podawanie służbowego adresu email w serwisie LinkedIn, gdzie i tak z założenia użytkownicy podają swoje miejsce pracy, nie jest szczególnie niebezpiecznym wybrykiem (zakładając, że informacja o miejscu pracy powinna być w ogóle publicznie udostępniana). Niestety patrząc na wyniki z innych baz możemy zauważyć, że rządowe skrzynki były używane nie tylko do tworzenia profili w LinkedIn…

Dane mojego konta wyciekły, co teraz

Jeśli Twoje konto znalazło się w jednym z wycieków i trochę się tym przejmujesz to zalecamy trzy kroki:

  • zmianę hasła używanego w tym serwisie oraz gdziekolwiek indziej, gdzie było ono takie samo
  • rozpoczęcie używania różnych haseł do różnych serwisów
  • rozpoczęcie używania programu do zarządzania hasłami (np. KeePassa)

Dziękujemy czytelnikowi w4cky za pomoc w przygotowaniu artykułu

Podobne wpisy