Nie jesteśmy w stanie policzyć, ile razy apelowaliśmy o używanie różnych haseł w różnych serwisach i stosowanie 2FA. Niestety apele są mało skuteczne a przykład płynący z góry pokazuje, że wiele osób nadal tego nie robi.
Porady bezpieczeństwa najlepiej jest przekazywać na prawdziwych przykładach. Własnie trafił się nam przykład całkiem dobrej jakości, czyli przejęte konta założyciela Facebooka w innych serwisach społecznościowych.
dadada?
Od paru dni włamywacze posługujący się nazwa OurMine Team przejmują konta popularnych (niekoniecznie w Polsce) osób. Piosenkarzowi Christianowi Collinsowi (1,5 mln obserwujących na Twitterze) przejęli konta Pinterest, Spotify, SnapChat, Amazon i PayPal, twierdzili też, że przejęli niektóre konta Billa Gatesa, jednak sławę zdobyli gdy wczoraj przejęli kontrolę nad dwoma kontami Marka Zuckerberga, założyciela Facebooka.
Informacja od włamywaczy
Co prawda Facebook nie przyznaje się, by włamano się na konto Marka na Instagramie, ale zrzuty ekranu potwierdzają, że OurMine kontrolował konta Marka na Twitterze i Pintereście.
Ouch. Mark Zuckerberg's social media accounts have been hacked pic.twitter.com/KvVmXOIg5s
— Ben Hall (@Ben_Hall) June 5, 2016
Co więcej, włamywacze twierdzą, że znaleźli konto Marka w danych wykradzionych z serwisu LinkedIn a jego hasło tam brzmiało „dadada”. Możemy mieć zatem do czynienia albo ze stosowaniem tego samego hasła do kilku kont (i brakiem jego zmiany) albo z przejęciem konta pocztowego powiązanego z innymi kontami w serwisach społecznościowych i resetem hasła. Tak czy inaczej wygląda na to, że Mark nie używał 2FA wszędzie tam, gdzie było to możliwe. Na jego usprawiedliwienie dodamy jednak, że ostatniego tweeta napisał 4 lata temu, więc może po prostu o tym koncie zapomniał…
Komentarze
Ludzie nie lubią 2FA bo nieraz jest ono źle wdrożone i się zrażają. Znam serwisy, w których kod z 2FA trzeba podać co każde logowanie – denerwujące i to mocno.
Pewnie nie wszędzie to działa, ale świetnie działają aplikacje typu Authenticator – znacznie ułatwiają życie w takiej sytuacji.
W pracy loguję się tak do jednego z systemów. Czasami muszę to zrobić na już, a muszę czekać na sms (w sieci Orange) kilkanaście minut. Bywa to denerwujące, zwłaszcza w ostatnich minutach pracy ;)
Myślę, że raczej wynika to z niewiedzy jak działa mechanizm 2FA. Sam bardzo długo byłem przeciwny dopóki firma, w której pracuję nie zmusiła mnie do używania. Jak zobaczyłem jak to funkcjonuje to ustawiłem sobie również na prywatnych kontach.
Jeśli 2-FA miałoby nie być wymagane za każdym razem, to jaki jest sens jego używania, skoro raz działa, a raz nie?
Najgorsze jest to, że wiele osób, które używa 2-FA i tak zostawia zalogowane konto na swoim komputerze, bo nie chce im się wpisywać ciągle kodów jednorazowych z sms. Uważają, że jest to potrzebne, żeby nikt z innego urządzenia im się nie włamał – a wystarczy jeden niemiły kolega w domu i już jest po koncie.
a jak kolega zacznie grzebac w sloiku z ciastkami to nawet nie musi byc w pokoju obok.
„Uważają, że jest to potrzebne, żeby nikt z innego urządzenia im się nie włamał – a wystarczy jeden niemiły kolega w domu i już jest po koncie.”
Jakie masz szanse na to, a jakie na to, że gdzieś indziej będzie wyciek. Nie bądźmy paranoikami. Nawet jeśli dojdzie do takiej sytuacji to wiesz, że nie przełamano 2FA, a zrobił to ktoś ze sprzętu z otwartą sesją. Akurat zapisywanie sesji jest świetne bo taki Steam wymaga za każdym razem tokena i jest to wkurzające, choć oni przymusem odsunęli od siebie kupę roboty dot. skradzionego ekwipunku czy kont w imię bezpieczeństwa użytkowników i to się ceni.
Pamiętajcie jedno konto, jedno unikalne, dedykowane, silne hasło lub wyrażenie hasłowe. Ale jak widać nie tylko to. Okazuje się, że konto nie było używane przez jego właściciela przez ponad 4 lata. Może zatem warto zorientować się ile masz kont w Internecie, które wymagają logowania? Polecamy zadanie z naszego kalendarza: Poznaj swoje konta w sieci – https://goo.gl/2SXTe0
jeśli z czegoś nie korzystam to znaczy, że wisi mi czy ktoś to przejął ;) Ogólnie kiedyś zrobiłem sobie poszukiwania swoich kont w necie z przeszłości i ukrywaniu swoich danych, które kiedyś niezbyt ceniłem.
Ourmine stało się sławne jak włamali się na konta paru YTBerów.
Może zapomniał hasło i dlatego nie używał :) a włamywacze mu je przypomnieli i teraz zmieni hasło
a ja nie mam nic do czego moznaby mi sie wlamac to jest najlepsza metoda:D, jak potrzebuje korzystac z jakiegos serwisu to tworze konto na szybko i juz nigdy z niego wiecej nie korzystam tak samo z fb,mail i wszystko inne. Zreszta nigdzie nie umieszczam danych o sobie i nic w sieci nie jest dla mnie wazne a kupuje realnie za gotowke bo po co komu informacje co i za ile kupuje? Moim zdaniem po nic wiec jestem zwolenikiem anonimowego kupowania jak i anonimowosci w ogole. Pozdrawiam