Wczoraj ekspert ds. prywatności i bezpieczeństwa, Troy Hunt, opublikował post na blogu odnośnie „Collection #1” — obszernej bazy danych zawierającej ponad 700 milionów unikatowych adresów e-mail i ponad 1,1 miliarda unikatowych par login-hasło, które pojawiły się ostatnio w internecie. Dziś powiem Ci, w jaki sposób możesz sprawdzić, czy Twoje dane również wyciekły i ewentualnie co należy zrobić.
Wycieki i włamania na konta zdarzają się dość często; czasami przycierają spore rozmiary. Atakujący gromadzą informacje, które wyciekły, tworząc bazy danych loginów i haseł. Niektórzy próbują dodać do tych baz informacje z innych wycieków, a w efekcie powstaje baza o gigantycznych rozmiarach — taka jak ta o nazwie Collection #1, którą przeanalizował Troy Hunt.
Muszę tu wyjaśnić, że to nie jest jeden duży wyciek (jak ten, który przydarzył się serwisowi Yahoo!, gdy skradziono dane logowania miliardów użytkowników), lecz zbiór, który łączy informacje z ponad 2000 różnych wycieków, począwszy od 2008 r.
Co ciekawe, wydaje się, że baza Collection #1 nie zawiera loginów i haseł z dobrze znanych wycieków, takich jak ten z serwisu LinkedIn, który miał miejsce w 2012 r., czy obu wycieków Yahoo (tu informacje na temat pierwszego wycieku, a tu — drugiego).
Jak sprawdzić, czy moje dane znajdują się w udostępnionej bazie Collection #1?
Aby dowiedzieć się, czy Twoje dane logowania znajdują się w omawianej bazie, skorzystaj z serwisu haveibeenpwned.com. Wprowadź w nim swój adres e-mail, aby sprawdzić, czy znajdował się on w jakiejkolwiek bazie, która wyciekła i o której wie serwis haveibeenpwned.com.
Jeśli Twój adres e-mail jest częścią bazy Collection #1, serwis wyświetli o tym informację. Jeśli nie pojawi się, masz szczęście i w tej sytuacji nie musisz robić nic.
Co muszę zrobić, jeśli moje konto znajduje się w zbiorze Collection #1?
Jeśli Twój adres e-mail znajduje się we wspomnianej bazie, nie siedź bezczynnie. Pamiętaj jednak, że serwis ten nie informuje, które konto powiązane z podanym adresem e-mail wyciekło. Może było to konto na forum o kryptowalutach, może konto internetowe do biblioteki, a może to do serwisu dla miłośników kotów. Masz więc dwie opcje — w zależności od tego, czy jedno hasło służyło Ci do wielu serwisów, czy nie.
Opcja numer 1: jedno hasło pasowało do wielu kont powiązanych ze sprawdzanym adresem e-mail.
To gorsza opcja, bo w celu zapewnienia sobie bezpieczeństwa musisz zalogować się na wszystkie swoje konta i zmienić dla nich hasło. Nie zapominaj, że muszą one być długie i unikatowe. Niestety próba zapamiętania wielu nowych, różnych haseł może okazać się niemożliwa, dlatego pomóż sobie menedżerem haseł.
Opcja numer 2: każde z kont powiązanych z tym adresem e-mail miało inne hasło.
To łatwiejsza sytuacja. Oczywiście możesz zmienić wszystkie swoje hasła — ale nie musisz. Możesz także spróbować dowiedzieć się, które hasła wyciekły, używając do tego innej funkcji serwisu haveibeenpwned — Pwned Passwords.
Na tej stronie wprowadź swoje hasło do jednego ze swoich kont w postaci tekstowej luk jako skrót i zobacz, czy znajduje się ono w bazie haseł serwisu haveibeenpwned, które wyciekły. Jeśli okaże się, że w serwisie haveibeenpwned znajduje się któreś z haseł, lepiej je zmień. W przeciwnym razie możesz spodziewać się dalszych kłopotów. Później sprawdź w ten sposób kolejne hasła.
Oczywiście korzystanie z serwisu haveibeenpwned oznacza, że darzysz go dużym zaufaniem. Ale ponieważ chodzi o Twoje bezpieczeństwo, lepiej jest wprowadzać skrót SHA-1 hasła — efekt będzie taki sam, jak wpisanie hasła. W Sieci istnieje kilka serwisów, które tworzą skróty SHA-1 dla każdej wprowadzonej informacji (oto ich lista). W ten sposób nie udostępniasz swojego hasła serwisowi haveibeenpwned.
Jak zadbać o swoje bezpieczeństwo, gdy nastąpi wyciek
W ciągu ostatnich kilku lat pojawiło się sporo wycieków i lepiej jest zakładać, że w przyszłości sytuacja ta nie ulegnie zmianie na lepsze. Od czasu do czasu będą więc pojawiać się nowe duże bazy danych, takie jak Collection #1, a atakujący z przyjemnością będą z nich korzystać, aby móc włamać się na konta innych osób. Aby zminimalizować ryzyko padnięcia ofiarą takich wycieków, postępuj zgodnie z poniższymi wskazówkami:
- Korzystaj z długich i unikatowych haseł do każdego konta. W ten sposób, jeśli w danym serwisie nastąpi wyciek, konieczna będzie zmiana tylko jednego hasła.
- Wszędzie tam, gdzie jest to możliwe, włącz autoryzację dwuetapową. W ten sposób hakerzy nie dostaną się na Twoje konto, nawet jeśli zdobędą login i hasło.
- Korzystaj z rozwiązań zabezpieczających, np. Kaspersky Total Security.
- Używaj menedżer haseł, który jest pomocny w tworzeniu wielu unikatowych i silnych haseł, których nie trzeba pamiętać. Ponadto menedżery mogą pomóc zmienić hasła szybciej, gdy zajdzie taka potrzeba. Kaspersky Password Manager skutecznie wykonuje oba zadania.