05/12/2018

Dlaczego nie wolno używać tego samego hasła w kilku miejscach

Porady

Stosowanie wszędzie jednego hasła jest z pewnością bardzo wygodne, ale też ogromnie niebezpieczne. Jako przykład możemy podać sytuację, która spotkała młodego projektanta, Marka.

Mark to przeciętny użytkownik internetu: korzysta z poczty e-mail, serwisu Facebook, Instagram, Amazon, ma konto także w serwisach eBay, Steam i Battle.net. Oczywiście ponadto ma konta w wielu sklepach internetowych i forach poświęconych jego ulubionej grze wideo. Wszystkie konta są połączone z jego adresem e-mail.

Pewnego dnia nastąpił wyciek bazy danych klientów jednego ze sklepów internetowych, w których Mark miał konto. Okazało się, że najprawdopodobniej były one przechowywane w postaci niezaszyfrowanej na serwerze posiadającym otwarty dostęp. Zamiast informacji o kartach płatniczych, skradzione zostały adresy e-mail, imiona, nazwiska i hasła. Na pierwszy rzut oka wydawało się, że nie ma się czym przejmować. Takie wycieki czasami się zdarzają, a wspomniany sklep był mały — w końcu czy można obwiniać skromnego sprzedawcę, że nie jest ekspertem od cyberbezpieczeństwa?

Cyberprzestępcy, którzy zdobyli bazę danych, zdecydowali się spróbować szczęścia — może ktoś z uzyskanej listy używa takiego samego hasła do swojego konta e-mail? To był strzał w dziesiątkę: Mark używał jednego hasła wszędzie, dzięki czemu cyberprzestępcy mieli dostęp do jego elektronicznej poczty. Tam znaleźli nie tylko zdjęcia, które Mark wysłał Lucy, ale także wiadomości z serwisu Amazon, eBay i innych. Wystarczyła jedna próba zalogowania się na konto Amazon, aby dowiedzieć się, że Mark używa tego samego hasła również i do tych kont.

Po odkryciu, jaka karta kredytowa jest połączona z kontem Amazon, cyberprzestępcy szybko kupili kilka sztuk iPhone’a X. Z kolei na Facebooku poprosili znajomych Marka o pieniądze, pisząc w jego imieniu taki oto post: „Pilnie potrzebuję pożyczyć trochę forsy. Jutro dostanę wypłatę, więc oddam z nawiązką — obiecuję!”. Wśród osób, które przeczytały informację, znaleźli się prawdziwi znajomi Marka, którzy wysłali pieniądze — oczywiście na konto cyberprzestępców.

Jednak na tym atakujący nie skończyli swoich działań. Zmienili hasła do wszystkich kont, do których udało im się uzyskać dostęp — czyli w przypadku Marka dosłownie we wszystkich.

Jeden ze znajomych na Facebooku zorientował się, że cos jest nie tak. Zadzwonił do Marka, aby upewnić się, że naprawdę potrzebuje pieniędzy. Przerażony chłopak szybko spróbował zmienić swoje hasło do Facebooka. Niestety, ono zostało już zmienione przez cyberprzestępców, a Mark został wylogowany. Próbując przywrócić swoje hasło, zwrócił się do pomocy technicznej, aby wygenerowała dla niego łącze służące do zresetowania i przesłała go na pocztę e-mail — ale i do niej nie mógł się dostać, z tego samego powodu.

Mark zrozumiał, że całe jego życie wirtualne zostało zhakowane. Zadzwonił do banku, zablokował środki na karcie kredytowej, desperacko próbował zmienić hasło do kilku serwisów, które jeszcze nie zostały przejęte przez obcych, a także zadzwonił do znajomych, aby wyjaśnić, że to nie on prosił o pieniądze. Przeprosił tych, którzy przesłali pieniądze oszustom, i obiecał zwrócić „pożyczkę”.

Ostatecznie doszedł do wniosku, że nigdy nie powinien używać tych samych haseł do różnych serwisów i już nigdy tego nie zrobi. Włączył też autoryzację dwuetapową wszędzie tam, gdzie było to możliwe.