W ostatnich miesiącach coraz częściej można przeczytać, że w jakiejś firmie lub instytucji doszło do wycieku danych. Jedne z najbardziej newralgicznych informacji to login i hasło. Niestety jak donosi firma 4iQ, właśnie jesteśmy świadkami sytuacji, w której pobrać można 1,4 miliarda haseł do różnych serwisów i to w niezaszyfrowanej, czystej postaci tekstowej (plain text).
Jak informują odkrywcy[1] , na bazę natrafili 5 grudnia, na jednym z podziemnych for internetowych, kiedy szukali skradzionych danych oraz tych pochodzących z wycieku. Ostatnia aktualizacja bazy z hasłami wskazuje na 29 listopada 2017, jednak nie pochodzi z nowego wycieku, ale z kolekcji 252, które odbyły się w przeszłości. Lista par loginów/maili i haseł wynosi dokładnie 1 400 553 869.
Nie ma żadnego odwołania do autora bazy danych, ani narzędzia, które zostało użyte do pozyskania loginów i haseł, jednak jak wskazują autorzy publikacji, zawiera ona również informacje o portfelach Bitcoinowych i Dogecoinowych. Baza waży 41 GB.
Na liście znajdują się dane z serwisów/usług takich jak m.in. LinkedIn, Anti Public, MySpace, Pastebin, Bitcoin, YouPorn, Last.FM, Zoosk, Badoo, RedBoc, Minecraft, Runescape, Netflix czy Exploit.in. Dodatkowo wyszukiwanie po słowie „admin”, „administrator” czy „root” zwraca prawie ćwierć miliona rekordów…
Niestety potwierdza się też teoria, że wielu użytkowników nie przykłada uwagi do jakości haseł. Jak widać na powyższym obrazku, prym wiodą proste hasła w stylu „123456”, „123” czy „111111”.
Badacze cały czas analizują znalezisko, w razie pojawienia się nowych informacji, opublikowana zostanie aktualizacja.
Tymczasem pamiętajcie o tworzeniu mocnych haseł (małe i wielkie litery, cyfry i znaki specjalne), unikatowych dla każdego serwisu, ich regularnej zmianie oraz wprowadzeniu uwierzytelniania dwuetapowego. W ten sposób nawet jeżeli ktoś pozyska hasło, nie zaloguje się bez np. Kodu wysłanego SMS-em na telefon.
Warto też zmienić hasło we wszystkich serwisach, zwłaszcza jeżeli w ostatnim czasie się tego nie robiło… Biorąc pod uwagę, że wiele osób nie zmienia haseł zbyt często, sporo z rekordów w tej bazie, nawet jeżeli są stare, mogą być wciąż aktualne.
[1] https://medium.com/4iqdelvedeep/1-4-billion-clear-text-credentials-discovered-in-a-single-database-3131d0a1ae14