Zanim przejdę do wyjaśnienia tytułu, kilka słów wstępu. Całkiem niedawno informowałem o odkryciu 1,5 miliarda haseł w konfiguracji z loginami/mailami, które znajdowały się w jednym 41 GB pliku. Znaleziska dokonali badacze w z firmy 4iQ. Odkrywcy powiadomili jednocześnie jakie hasła pojawiały się najczęściej i niestety w dużej mierze były to kombinacje cyfr w stylu „123123” czy prostych ciągów jak „qwerety” lub „zaq12wsx”.
Przytaczam te informacje nie bez powodu. Otóż kiedy wydawać by się mogło, że nic nie zaskoczy mnie bardziej, jak hasło „12345”, to poprzeczka została rzucona wyżej. Otóż będąc w ostatnim czasie na zakupach, zwróciłem uwagę, że wiele osób korzysta z urządzeń będących na wystawie do celów prywatnych i nie chodzi tu bynajmniej o sprawdzanie pogody czy godziny odjazdu autobusu. Wiele osób najzwyczajniej loguje się na urządzeniach dostępnych w publicznym miejscu i sprawdza pocztę, powiadomienia w serwisach społecznościowych, ale po zakończeniu tych czynności odchodzą od urządzenia zostawiając konto zalogowane… Poniżej kilka przykładów (kliknij aby powiększyć):
Każda osoba, która podeszłaby do stanowiska, mogłaby oglądać czyjeś zdjęcia, informacje oznaczone jako widoczne tylko dla autora lub określonego grona znajomych, wiadomości, wykorzystać fakt powiązania konta na Facebooku z innymi serwisami czy najzwyczajniej – zrobić „psikusa” wklejając karnego… jelenia.
Mogą pojawić się komentarze, że takie konta to można dostać w każdym sklepie z kontami. Niestety nie jest to mistyfikacja i może ciężko w to uwierzyć, ale te kilka przykładów zrobiłem w dwóch miejscach, a zalogowane profile (lub informacje, że ktoś się logował) należały do różnych osób. Ciężko zatem mówić tutaj o przypadku. Mam nadzieję, że ten tekst uświadomi niektóre osoby, jak niebezpieczne to może być.
Pomyślałem, że teraz limit zaskoczenia został wyczerpany i wtedy bum! trafiłem na iPada, na którym ktoś co prawda wylogował się z konta, ale tak nie do końca…
Na poniższym wideo widać, że nikt nie jest zalogowany na tablecie, ale wystarczy (tak, wiem, syndrom pionowego wideo 😉 ale nagrywając poziomo i tak musiałbym wycinać boki) kliknąć zdjęcie profilowe w celu szybkiego zalogowania.
Co tu się w ogóle stało? Ktoś zapisał hasło na urządzeniu do którego dostęp ma kilkaset osób dziennie? Wydaje mi się, że odpowiedź jest prostsza. Ktoś ma włączoną funkcję logowania przy pomocy zdjęcia profilowego. Można to włączyć w ustawieniach (co pokazuję na przykładzie innego konta poniżej):
Po tym zabiegu nie jest już wymagane wpisywanie hasła (chyba, że ktoś doda stosowną opcję) na danym urządzeniu. Wystarczy dotknąć zdjęcia profilowego. Osoba, która zalogowała się na tym tablecie prawdopodobnie zaakceptowała jakiś komunikat, nie przykładając większej uwagi do treści i w ten sposób urządzenie zostało zapamiętane jako bezpieczne.
Na koniec dodam, że na urządzeniach, które sprawdzałem, a na których ktoś zostawił zalogowane jakiekolwiek konto, wylogowałem się i wyczyściłem przeglądarkę, bo jakoś nie potrafiłem zostawić tych urządzeń w takim stanie… Na koniec kilka wskazówek:
Jeżeli korzystasz z urządzenia, do którego dostęp ma wiele osób, to staraj się ograniczyć do odwiedzania witryn i wykonywania czynności, które nie wymagają podawania danych/logowania/wypełniania formularzy. Nawet jeżeli dany serwis korzysta z szyfrowania (https), to samo urządzenie może być zainfekowanie. Poza tym, nawet jeżeli jest tam antywirus to istnieje jeszcze szereg innych ataków (przy dobrych chęciach nawet Man in the Middle). Dodatkowo pamiętaj o wylogowywaniu się z urządzeń i tworzeniu silnych haseł.
Na już prawdziwy koniec dodam, że oprócz hasła, ważne jest też ustawienie odpowiednio dobrej podpowiedzi do hasła, bo jeżeli pytanie pomocnicze brzmi: imię pupila/pierwszej miłości, miejscowość urodzenia itp, to takie informacje można bez problemu znaleźć w sieci.