04.05.2016 | 16:04

Adam Haertle

Setki milionów haseł wyciekły do rąk przestępców, ale to normalne

Tytuł tego artykułu mógłby brzmieć np. Uwaga, wyciekły setki milionów haseł, ostrzeżcie znajomych!, ale chyba najwyższy czas już skończyć z udawaniem, że tego rodzaju wycieki są czymś niecodziennym i zaskakującym.

Agencja Reutera donosi, że Alex Holden, znany odkrywca dużych zbiorów danych w rękach rosyjskich przestępców, namierzył paczkę zawierającą 272 miliony unikatowych identyfikatorów użytkowników wraz z ich hasłami. Poniżej wyjaśnimy, skąd takie zestawy się biorą i dlaczego uważni Czytelniczki i Czytelnicy naszego serwisu nie muszą się tym przejmować.

300 milionów haseł? To niemożliwe

Pierwszą reakcją na wyciek setek milionów haseł u wielu osób będzie pewnie stwierdzenie „to niemożliwe”. Niestety jest to jak najbardziej możliwe i prawdziwe. Sam wyciek z firmy Adobe obejmował 150 milionów kont – zatem liczby rzędu 300 milionów czy 1,2 miliarda w ogóle nas nie dziwią. Nie oznacza to oczywiście, że liczba ta oznacza liczbę poszkodowanych – często są to różne konta tych samych osób zatem rzeczywista liczba może być niższa.

W tym wypadku, jak twierdzi odkrywca, natrafił on na rosyjskim forum na użytkownika który oferował na sprzedaż bazę 1,17 miliarda par login+hasło. Cena wynosiła 50 rubli, czyli kilka PLN, ale udało się bazę otrzymać w zamian za pozytywny komentarz na forum. Nie potrafimy zbadać wiarygodności tej historii, ale brzmi prawdopodobnie. Alex Holden posortował otrzymaną bazę i znalazł w niej podobno 272 miliony unikatowych identyfikatorów użytkowników. Baza ma rzekomo zawierać:

  • 57 milionów kont z serwisu mail.ru,
  • 40 milionów kont Yahoo,
  • 33 miliony kont Hotmail/Outlook,
  • 24 miliony kont Gmaila.

Czy to jednak prawda?

Prawdopodobnie tak. Alex Holden ma naprawdę dobre kontakty. To on był odkrywcą wycieku bazy Adobe czy ataków na takie firmy jak Target czy JPMorgan. Gdy w roku 2014 ogłosił odnalezienie bazy 1,2 miliarda kont uruchomił serwis WWW, gdzie można było zgłosić swój adres email i sprawdzić, jakie hasło było z nim powiązane. Faktycznie w kilku przeprowadzonych przez nas testach otrzymaliśmy prawidłowe hasła dla kont którymi kiedyś dysponowaliśmy w różnych serwisach. Wszystko wskazuje zatem na to, że Alex Holden rzeczywiście mógł tym razem znaleźć ponad 270 milionów unikatowych par login-hasło.

Alex Holden

Alex Holden

Dlaczego nie trzeba się tym przejmować

Hasła które znalazł Alex Holden prawdopodobnie pochodzą z różnych źródeł. Ogromny udział serwisu mail.ru wskazuje na wyciek pełnej bazy jego klientów (których jest obecnie ok. 60 milionów, zatem dane mogą pochodzić z wcześniejszej wersji bazy). Z kolei wycieki kont Google czy Yahoo wskazują na dwa możliwe źródła informacji. Pierwsze to infekcje przez botnety zbierające wszystkie hasła zapamiętane przez przeglądarki czy wpisywane przez użytkowników. Drugie to włamania do popularnych serwisów internetowych, gdzie użytkownicy zostawiają swój adres email wraz z hasłem a te są następnie pozyskiwane przez włamywaczy. 24 miliony haseł Gmaila może okazać się wcale nie pasować do kont w Gmailu, ponieważ ktoś używa innego hasła do Gmaila niż to, za pomocą którego zarejestrował się na forum.

Jeśli zatem zgodnie z naszymi zaleceniami:

  • używacie menedżera haseł (zamiast zapamiętywać je w przeglądarce),
  • nie klikacie w przypadkowe załączniki,
  • aktualizujecie wtyczki i przeglądarki
  • używacie innego hasła do kont śmieciowych a innego do ważnych

to nie macie się czym przejmować. Na wszelki wypadek kolejną linię obrony zapewniają także sami usługodawcy (przynajmniej ci więksi), którzy monitorują sytuację i potrafią wykrywać nieautoryzowane logowania nawet gdy przestępca poda od razu prawidłowe hasło. Uważajcie zatem na powiadomienia o naruszeniu bezpieczeństwa Waszych kont.

Powrót

Komentarze

  • 2016.05.04 16:39 ktoś

    W przypadku Google istnieje weryfikacja dwuetapowa, więc samo hasło nic raczej nie da. Bardziej martwiłbym się kontem MS, bo tam znane hasło do konta oznacza dostęp do „pulpitu” i co gorsza… Onedrive a więc nie tylko maili, kontaktów i kalendarza, ale i zdjęć itp… Czy w MS istnieje weryfikacja dwuetapowa?

    Odpowiedz
    • 2016.05.04 17:42 ktosia

      istnieje. polecam.

      Odpowiedz
    • 2016.05.04 17:56 Q

      Konta MS mają możliwość uwierzytelniania 2 etapowego. SMS/Email/Kody. MS nawet popełnił aplikację o dzwięcznej nazwie Authenticator na Windows Phone. Można w niej generować kody do różnych serwisów (w tym google i github). Więc nie masz się o co martwić.

      Odpowiedz
    • 2016.05.04 18:03 Maciej

      Tak w MS istnieje dwuetapowa weryfikacja

      Odpowiedz
    • 2016.05.04 18:04 Łukasz

      Tak, istnieje weryfikacja dwuetapowa, którą mam włączoną. :P

      Odpowiedz
    • 2016.05.04 18:36 dobaczenko

      Istnieje. Możliwe jest odblokowanie SMS lub token.

      Odpowiedz
    • 2016.05.04 19:34 Dzikus

      Mało że istnieje dwuetapowa w ms to jeszcz można ja obsługiwać Google Authenticatorem.

      Odpowiedz
  • 2016.05.04 16:55 SeniorGrzegorz

    Nie odnotowałem ataku, wszystko to jest fake widać po zdjęciu Alexa o co mu tak naprawdę chodzi !
    Poza tym to skrajna nieodpowiedzialność, gość nie zgłosił sprawy do kapituły loży sprawiedliwych chcąc zabłysnąć przez 5 minut, implikacje takiego stosunku do sprawy są oczywiste np zawieszanie się serwerów pocztowych po masowym akcie panicznej zmiany haseł !! I kto za to wszystko zapłaci ?
    Apeluje więc o rozwagę i zmienianie haseł po kolei, a poza tym nie ma powodów do niepokoju

    Odpowiedz
    • 2016.05.04 16:56 SeniorGrzegorz

      Chciałbym też zauważyć że tvn nie odnotował mojego komentarza z czego oczywiście zostaną wyciągnięte odpowiednie konsekwencje.

      Odpowiedz
  • 2016.05.04 16:57 Falmic

    @ktoś
    Tak. Ma oferuje weryfikacje dwu etapową

    Odpowiedz
  • 2016.05.04 17:05 poketczu

    „Na wszelki wypadek kolejną linię obrony zapewniają także sami usługodawcy (przynajmniej ci więksi), którzy monitorują sytuację i potrafią wykrywać nieautoryzowane logowania nawet gdy przestępca poda od razu prawidłowe hasło.”

    Jeśli jednak nie używamy VPNa, to jakiś zblazowany pracownik lokalnego ISP może się zalogować i nikt tego nie wychwyci. A to ze względu, że lokalni operatorzy mają zazwyczaj adresy IP za NATem i będzie on identyczny z tym od atakującego.

    A odnośnie wycieków to najbardziej przerażające są te zdrowotne oraz finansowe. I co ważne nie da się ich uniknąć. Tak jak to było w sprawie wycieku ok. 80 mln danych z amerykańskiego zakładu ubezpieczeń zdrowotnych Anthem. Co ważne zakład ten nie miał odgórnie narzuconego szyfrowania wrażliwych danych klientów.

    Odpowiedz
    • 2016.05.05 08:48 Adam

      Ale co wy macie z tym szyfrowaniem?
      Jakim REALNYM zabezpieczeniem jest szyfrowanie bazy na odpalonym systemie służącym jedynie do dawania odpowiedzi z tej bazy? :D

      Odpowiedz
      • 2016.05.06 20:09 hmm

        Takim,że bazę możesz wykraść przez system związany z bazą,wejście na serwer inną drogą nie wystarczy ?

        Odpowiedz
        • 2016.05.07 14:38 Adam

          Troszkę wieloznacznie napisane, więc odpiszę w punktach, jak ja to widzę.
          Kompromitacja systemu bazodanowego daje dojście do bazy i z tym się chyba zgodziliśmy.
          „Wejście inną stroną”, jeśli je już uczyniliśmy i o ile jest na tyle duże, że daje dostęp do całych plików bazy i jesteśmy świadomi dobrego położenia tych plików, to pewnie będziemy też wiedzieli, jak dobrać się do składowych de-szyfrujących, szczególnie jeśli to ten sam host, a niezabezpieczonych klientów jest dużo…

          Oczywiście to też zależy, w którym miejscu ustanowimy szyfrowanie, ale większość nowoczesnych, rozległych i KOMFORTOWYCH systemów to po prostu nic więcej, jak tylko jakiś kompromis i do tego najczęściej biznesowy…

          Oczywiście zgodzę się z każdym w temacie, że dodatkowe zabezpieczenie opóźnia sukces włamu, podobnie jak fikuśne alarmy opóźniają złodzieja…
          Tylko że niektóre kwestie podnoszone radośnie w komentarzach tu, u konkurencji i na portalach otwartych są dla mnie niczym złocone kable audio… Bardzo fajne i każdy chce je mieć, ale różnica często mała, a masowi producenci ich często nie stosują, jeśli nie będzie to wyraźnie wyszczególnione w reklamie produktu…

          Odpowiedz
  • 2016.05.04 17:50 wiktor

    *używacie innego hasła do kont śmieciowych a innego do ważnych*
    IMO zbyt nisko postawiona poprzeczka, skoro porada nr 1 mówi o menedżerach haseł to nie ma powodu do ograniczania się do wspólnych haseł, skoro wszędzie można mieć inne losowe…

    Odpowiedz
  • 2016.05.04 17:54 j

    Weryfikacja dwuetapowa to niekiedy tez problem, majac konto pod uslugi finansowe zalozone na gmailu, nie moglem sie na nie zalogowac po 3 miesiacach nie uzywania, mimo ze znalem 40+ znakowe silne losowe haslo. Ostatecznie support googli stwierdzil mi ze nie jestem w stanie odzyskac dostepu do skrzynki, bo nie podalem tam numeru, i co najwyzej moglbym probowal polaczyc sie z tej samej lokalizacji co 3 miesiace wczesniej, choc to nie gwarantuje odzyskania dostepu. I sprawe zamkneli. Nie polecam uzywac gmail do kont technicznych.

    Odpowiedz
    • 2016.05.04 18:40 dobaczenko

      Dlatego korzystając z weryfikacji dwuetapowej trzeba się zabezpieczyć. Drugi telefon, wydrukowane kody jednorazowe, email, token.
      Równie dobrze mogłeś mieć pretensje że wpisałeś losowe hasło, zapisałeś je na kartce ale ta ci spłonęła i teraz nie możesz się zalogować.

      Odpowiedz
      • 2016.05.04 22:47 Adam

        Mnie się najbardziej podobał jeden znany serwis, który radośnie wprowadził 2FA przez SMS.
        Włączyć 2FA można było po zalogowaniu się, w opcjach (zwykły checkbox), po podaniu JEDNEGO numeru telefonu. Do wykonania prostego testu wystarczyło się wylogować i spróbować zalogować ponownie (powinien przyjść SMS).

        Wszystko by było fajnie, gdyby nie fakt, że na Polskę nie mieli sprawnej obsługi telefonów… a żeby WYłączyć 2FA trzeba było wejść w opcje i wyklikać checkboxa, czyli inaczej mówiąc zalogować się… :D

        Odpowiedz
  • 2016.05.05 09:40 Tomasz

    Może ktoś podać link do tego serwisu sprawdzającego czy email znajdował się w bazie?

    Odpowiedz
  • 2016.05.05 09:42 Piotr

    mogę poprosić o linka gdzie można sprawdzić, czy mój mail jest już dość popularny w parze z hasłem/hashem?

    Odpowiedz
    • 2016.05.05 13:53 Adam

      Ale ta strona ma mieć funkcję zapisywania weryfikowanego hasła, czy nie? :>

      Odpowiedz
  • 2016.05.05 10:55 Jakub Odpowiedz
  • 2016.05.05 17:26 Tadek

    Czy mogę podać Wam maila i hasło z prośbą o sprawdzenie czy te dane zostały skradzione?
    .
    .
    .
    .
    Żartowałem, sorry ale nie mogłem się oprzeć :)

    Odpowiedz
  • 2016.05.05 18:26 Artur

    A z ciekawości, co poleca zaufanatrzeciastrona??

    „Jeśli zatem zgodnie z naszymi zaleceniami:
    używacie menedżera haseł (zamiast zapamiętywać je w przeglądarce),”

    jakiego menadżera haseł??

    Odpowiedz
    • 2016.05.05 18:36 Adam

      KeePass jest OK.

      Odpowiedz
      • 2016.05.05 19:24 Artur

        Dziękuję za odpowiedź

        Odpowiedz
      • 2016.05.05 19:41 Marcin

        A jak oceniacie managery chmurowe typu LastPass?

        Odpowiedz
        • 2016.05.06 09:18 Adam

          Już pomijając te linki z wpadkami powiedzcie mi jedną rzecz.

          Jak jakaś znana korporacja po wybraniu OPCJI prosi o chwilowe podanie loginu i hasła do banku, to jest raban na cały świat i na wszystkie działy security, a klienci zamykają konta za opcjonalną metodę dodania im pieniędzy.

          Ale jak wyskoczy jakaś mniej lub bardziej znana firma z chmurą i/lub aplikacją o mniej lub bardziej otwartym kodem i służącą do wpisywania do niej wszystkich możliwych haseł, to się to wszystkim podoba i jeszcze im reklamy porobią…

          Nie żebym był z PayPala (a szkoda), ale bekę cisnę niesamowitą z tej mody i ulegania czarowi bezpiecznikowych produktów… :)

          Odpowiedz
          • 2016.05.06 18:54 bre

            LastPass nie przetrzymuje u siebie haseł a zaszyfrowaną lokalnie bazę. To tak jak byś trzymał kontener truecrypta z plikiem hasla.txt w drobboxie. Jeżeli tego nie rozumiesz i porównujesz to do sprawy paypaltrustly to się ośmieszasz.

          • 2016.05.07 14:15 Adam

            To zależy od zakładanego stopnia kompromitacji/wrogości aplikacji.

            Przykładowo dla mnie nie ma różnicy, czy hasło przechowuje się w plain-text, MD5, w kontenerze TC drukowanym na karcie perforowanej, czy jakimś dziwnym skrócie z solą, pieprzem i dżemem O ILE to hasło (oraz może inne hasło master lub plik typu klucz) ja muszę jakoś wpisać w ICH formularz/aplikację.

            Już pomijam, że oni niekoniecznie będą prosić o hasło jednorazowe do użycia tych danych, jeśli nie masz 2FA wszędzie…

            Równie dobrze można analogicznie uprościć sprawę i powiedzieć, że Windows jest spoko odporny na ataki, bo ma zaporę, a rutery jako mini-USB-NAS są OK, bo mają podział LAN/WAN, a wszyscy marudzący na nie się kompromitują…

            Przykład z plikiem TXT i kontenerem TC do mnie przemawia O ILE sam byś ten plik downloadował, rozpakowywał i używał… No ale pewnie wolicie wygodniej, bo każdy chce…

            Jeśli Ciebie @bre mniej lub bardziej kontrowersyjne systemy bezpieczeństwa nigdy nie zrobiły w #### przez jakiś błąd/ficzer w nich, to gratuluję…
            Ja już miałem historyjkę tak absurdalną (może ten kardynalny błąd był nawet godny sekcji „prywatne drobiazgi”), że do KAŻDEGO rozwiązania security podchodzę zawsze mniej lub bardziej sceptycznie…

  • 2016.05.06 05:16 Kapeć

    Ma ktoś link? :)

    Odpowiedz
  • 2016.05.06 15:48 Hepita

    Jest jakiś dobry menedżer haseł który działa pod Androidem i Linuxem i pozwala jakoś synchronizować bazę haseł między komputerem a telefonem? Obecnie korzystam z zapamiętywania haseł w Google Chrome…

    Odpowiedz
    • 2016.05.07 01:04 zbychu_136

      Polecam KeePass (Linux) oraz KeePassDroid (Android). Jest dobry i spełnia podane przez Ciebie wymogi.

      Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Setki milionów haseł wyciekły do rąk przestępców, ale to normalne

Komentarze