Coraz mniej jest popularnych serwisów które jeszcze nie ogłosiły utraty danych dziesiątek milionów użytkowników. Dzisiaj do grona ofiar włamania dołącza popularny również w Polsce serwis muzyczny Last.fm.
Powstały kilka miesięcy temu serwis LeakedSource opublikował własnie informacje o ujawnieniu wycieku danych użytkowników Last.fm. Dane pochodzą z 22 marca 2012 i obejmują ponad 43 miliony kont użytkowników, w tym także Polaków.
Co wyciekło
Wśród ujawnionych danych znalazły się nazwa użytkownika, adres poczty elektronicznej, hasz hasła oraz data rejestracji. Niestety hasła były zapisane w postaci funkcji skrótu MD5, co sprawia, że próba ich odgadnięcia w znakomitej większości przypadków zakończy się powodzeniem. Jeśli zatem Twoje hasło nie miało przynajmniej 14 znaków nie związanych z żadnym słownikiem, to możesz założyć, że przestępcy byli w stanie poznać jego treść.
LeakedSource opublikował także statystyki najpopularniejszych domen używanych w ujawnionych adresach email. Na miejscu 11 jest Wirtualna Polska z 303 181 wpisów, na 17 o2.pl z 251 680 wpisów, na 35 interia.pl z 90 088 wpisów a na 38 op.pl z 79 629 wpisów. Daje to w sumie prawie 700 tysięcy adresów, zatem możemy spokojnie przyjąć, że wyciekły dane co najmniej miliona Polaków – uwzględniając pozostałe polskie domeny oraz osoby, które mają konta w domenach gmail czy hotmail.
Last.fm w czerwcu 2012 informowało o wycieku, jednak najwyraźniej była to informacja dość ogólna, która nie trafiła do większości użytkowników.
Tradycyjne rekomendacje
Po kolejnym wycieku trudno powiedzieć coś nowego, ale trzeba powtarzać do bólu: korzystajcie w programów do zarządzania hasłami, nie używajcie tych samych haseł więcej niż 1 raz, Wasze hasło już wiele razy wyciekło i wycieknie jeszcze wiele razy. Włączcie uwierzytelnienie dwuskładnikowe tam, gdzie to możliwe. Przekażcie te wskazówki bliskim i dopilnujcie, by się do nich zastosowali.
Komentarze
To jest absolutny skandal, że przy takiej skali wycieku serwis nie informował o tym użytkowników.
przecież informował, masz nawet podlinkowane w artykule …
Dane 43 milionów użytkowników wyciekły a oni piszą „some Last.fm user passwords.” xD
Przecież jest napisane, że last.fm powiadomił już w 2012 r.
„…korzystajcie w programów do zarządzania hasłami…”
Przydałaby mi się porada w tym zakresie. Jakie oprogramowanie tego typu jest obecnie polecane? Zależy mi na tym, bym miał dostęp do haseł z każdego miejsca na Ziemi. Czy wydajniej jest napisać własny menadżer z dostępem WWW i odpowiednio zabezpieczyć?
KeePass lub KeePassX + pendrive ;)
Dzięki, przetestuje. :D
Osobiście stosuję notes marki „Gerlach”.
Hasło główne jest unikalne dla każdej strony i generuję je m.in. z numeru strony w notesie. Po wygenerowaniu uzyskuję liczbę, biorę więc właściwą linijkę z notesu.
Niestety software’owe menedżery haseł to daleka przyszłość, nie są one zintegrowane domyślnie z przeglądarkami i usługami synchronizacji zaszyfrowanych baz, więc tak czy inaczej wszędzie trzeba mieć notebooka. Jeżeli pracujemy w sieciach o różnych poziomach dostępu, to nawet notebook nie pomoże, bo próba podłączenia się zamiast dedykowanej końcówki nic nie da. Rozwiązanie z pendrive to jakaś kpina, KeePassX jest tak kapryśny, że nie działa nigdzie poza systemem, na którym go skompilowano. Testowano na Debianie – nie był w stanie uruchomić się na drugiej maszynie z Debianem!
Czy ktoś nie wynalazł menedżera haseł w sprzęcie? Tylko nie znany nam kluczyk, który wymaga zainstalowania trojana, tylko w postaci zwykłego emulatora HIDa?
KeePass ma integrację z Fx oraz Chrome, KeePassX ma autotype (dla Linuksa), który w zasadzie powinien zadziałać dla dowolnej aplikacji z klawiaturową nawigacją pomiędzy polami loginu i hasła.
To, że KeePassX nie działa poza maszyną, na której jest kompilowany, to jakaś kompletna bzdura – w jaki sposób działałyby wersje dostarczane w dystrybucjach? Raczej świadczy to o tym, że wykonawca kompilacji (i nie mam na myśli kompilatora…) nie ma wystarczających kompetencji – PBKAC.
A sprzętowy HID do haseł jak najbardziej istnieje – YubiKey. Jest powszechnie chyba znany w brażny, więc dziwne, że o tym nie wiesz…
Pod Windowsem rzeczywiście KeePass jest przenośny. Pod Linuksem może jest możliwość skompilowania KeePassX’a tak, by dało się go uruchomić z pendrive na drugim komputerze, ale tego z pewnością nie robi się przez zwykłego make’a. Skompilowałem sobie, wrzuciłem całość (która się uruchamiała!) na pendrive, pokonałem problem z uprawnieniami do uruchamiania formatując całego pendrive na ext, na jednym się z pendrive uruchamia, na drugim niet. Nawet nie wyświetla jakiej biblioteki nie ma! Coś w rodzaju „file format error” i koniec. Na obu maszynach Debian, kompilowane na moim pececie, uruchamiane na koncie X’owym na serwerze (tu akurat Debian wersja niżej – 7). Nie oczekujmy od każdego komputera na Ziemi żeby miał zainstalowanego KeePass’a.
YubiKey… nadal wymaga menedżera haseł albo pewnych konkretnych (może tych, co zawarły porozumienia z odpowiednimi agencjami :) ?) usług. To powinno działać niezależnie od systemu – hasło główne wprowadzane na menedżerze lub przez klawiaturę komputera (sniff’owanie USB), i przez pracę interakcyjną np. w notatniku wybór usługi. „Fortepian” mający 10 przycisków i emitujący hasła jako HID to i ja mogę zrobić na jakimś PICu. Ale hitem byłby produkt bez „fortepianu” klawiszy, stosujący sniffowanie klawiatury USB jako wejście.
Na maca masz niepokonanego 1password, ktory aktualnie nie ma konkurencji :P
Polecam keepass :)
Używam na windowanie, androidzie oraz iOS(mobilne odpowiedniki, znajdziesz na stronie keepass).
Synchronizacja za pomocą dysku google.
Czy trzymanie haseł w Chrome jest bezpieczne, jeśli korzystam ze standardowego konta w Windows i każdy dostęp do haseł w przeglądarce wymaga podania hasła Windows?
KeePass 2. Jak chcesz mieć dostęp z „całego świata”, to albo w wersji portable na pendrivie albo po prostu trzymasz plik z bazą haseł (który jest zaszyfrowany) w skrzynce mail bądź chmurze.
http://keepass.info/
Ok, znam KeePass, ale chciałem wiedzieć jak bezpieczna jest metoda, o której pisałem.
Czy mogę synchronizować Androidowego KeePassa z Linuksowym? Chodzi mi o ten sposób z przechowywaniem bazy haseł w zaszyfrowanym pliku w chmurze
Obecnie korzystam z zapamiętywania haseł w Chrome, bo jest wygodne, a nie planuję sytuacji że ktokolwiek włamie mi się na komputer/telefon, ale warto by było zadbać o lepsze zabezpieczenie.
Nie testowałem, ale jest opcja trzymania i synchronizowania bazy w Google Drive. Ale to działa tylko w wersji CKP dla chrome.
Hasła z chrome wyciąga sie jednym poleceniem bez podawania żadnych haseł.
A jak są zabezpieczone hasłem Windows?
Dziwne że wszystkie wielkie wycieki były z 2012 roku!
Co do managerów haseł to powiem jedno – keepass + owncloud RULEZ! :)
Haha dokladnie tak. Tylko ja Ty pewnie masz wlasny serwerek ja uzywam owndrive (maja szyfrowanie plikow wlaczone w darmowej wersji).
Tak, mam własną domenę na VPSie, nie intuicyjna nazwę chmury która jest dodatkowo szyfrowana i tylko dla keepassa, odpowiednie regulki w .htaccess zwłaszcza dla IP które mogą wejść na stronę (dom, praca, t-mobile), wymuszony https (letsencrpt)…
… nie jest to moja paranoja tylko minimum zabezpieczeń potrzebnych do ochrony swojego cyfrowego swiata ;))
Jedyną ochroną przed cyfrowym zagrożeniem jest nietrzymanie tam niczego, co ma jakąkolwiek wartość. Czyli osobna maszyna do bankowości, a resztę haseł niech sobie kradnie, kto chce.
Natomiast tam, gdzie pracujemy i potrzebujemy mieć różne dostępy cyfrowe, należy haseł nie mieć W OGÓLE. Tj. klucze, tokeny sprzętowe itp. rozwiązania (SSO, kerberos, LDAP z odpowiednimi politykami) plus ograniczenia na adresację (ew. GeoIP).
Po prostu nie wolno mieszać szambo-sieci (tzw. „internetów”) z tym, co dla nas ważne. Poczynając przynajmniej na poziomie OS (wirtualka do oglądania kotków).
Żadna to „szokująca wiadomość” bo o tym nieautoryzowanym przejęciu danych (zaczyna mnie denerwować słowo wyciek) sam Last.fm informował w 2012 roku i już wtedy sam prosił o zmianę hasła.
Hasło to pół biedy (15 nie słownikowych znaków + używałem go tylko tam), problemem jest adres email na który będzie spływać coraz więcej spamu..
nie ma to jak własna domena (albo kilka) i unikalny adres per serwis :) spam Ci niestraszny, a i łatwiej o dowód, gdy ktoś sprzeda Twój adres (opcja z „+” w gmailu jest mniej „bezpieczna” bo plus można łatwo wyciąć)
dziwne jest bycie osobą „techniczną” i niestosowanie tego rozwiązania
Przecież spamują całe domeny „własne”
Jak ma się aliasy typu [email protected] to wiadomo ale jak do serwisów bedziesz podawal aliasy typu [email protected] to mało prawdopodobne że spamboty zgadną adres.
Konto mam tam od 2008 i od tamtego czasu niewiele zmieniałem tam, a zabawy z aliasami raczej robię w miejscach gdzie strony nie znam, albo jej nie ufam.. Niestety okazuje się że nawet największym nie można ufać :/