Nie zmieniał pozornie silnego hasła, a jego dane wyciekały latami

05-02-2019, 20:20

Marek K. z Katowic ostatni raz hasło do poczty zmienił 4 lata temu. Postanowił sprawdzić, czy jego dane kiedykolwiek wyciekły. Okazało się, że od 2016 roku po sieci krążył jego adres e-mail, imię i nazwisko oraz „silne” hasło, które wykorzystywał do logowania się na Facebooka, Twittera czy do konta bankowego. Eksperci przypominają, w jaki sposób generować oraz chronić dane logowania.

Katowiczanin z okazji Dnia Bezpiecznego Internetu przeczytał informację o niedawnym wycieku ponad 773 milionów danych z tzw. „Collection#1", które pochodziły z przeprowadzonych ataków. Zawierały adresy e-mail, hasła, imiona i nazwiska posiadaczy kont w różnych platformach oraz serwisach pocztowych. Postanowił sprawdzić na stronie Have I Been Pwned, czy jego e-mail jest na liście zagrożonych. Okazało się, że serwis wskazał, że jego adres e-mail jest bezpieczny. Dociekliwie szukał jednak innych, zaufanych stron, na których może zweryfikować swoje cyberbezpieczeństwo. Trafił na portal Identity Leak Checker, przygotowany przez niemiecki zespół badaczy bezpieczeństwa z Hasso Plattner Institut. Serwis w swojej bazie posiada ponad osiem miliardów rekordów pochodzących z różnych wycieków danych. Tym razem weryfikacja okazała się brutalnie szczera. Serwis wskazał, że w 2016 roku w wyniku ataku na serwis badoo.com, z którego podobno raz w życiu skorzystał, wyciekły jego imię i nazwisko, data urodzenia oraz silne hasło (bo przecież składające się z dużych, małych liter, cyfr i znaków specjalnych), które wykorzystywał do logowania np. na Facebooku, Twitterze i do konta bankowego.

Co więcej, jego dane od tamtego czasu wypłynęły dwukrotnie – w styczniu 2017 i 2019 roku. Ostatni wyciek zawierał dane z wspomnianego „Collection#1". Jak wskazuje Kamil Sadkowski, starszy analityk zagrożeń w ESET, każdy, kto miał dostęp do jego poufnych informacji, mógł spróbować zalogować się do jego konta pocztowego czy też serwisów społecznościowych, zmienić hasła i pozbawić dostępu do najważniejszych usług internetowych, z których korzysta na co dzień. Mógł również śledzić uważnie jego aktywność w sieci i stworzyć profil osobowościowy przydatny do przeprowadzenia wyrafinowanego ataku na jego osobę.  

W jaki sposób chronić dane logowania?

Większość portali lub serwisów pocztowych stara się edukować użytkowników nakazując im korzystanie z niepowtarzalnych haseł oraz pokazując im „siłę” wpisywanego hasła. Często narzuca im wykorzystywanie dużych liter, cyfr oraz znaków specjalnych. Niektóre polskie banki wprowadzają dodatkową, dwuskładnikową autoryzację wykorzystującą kody przesłane przez SMS, wygenerowane z listy lub z aplikacji mobilnej (lub tokena). Ponadto, część z nich chroni dane logowania za pomocą tzw. obrazka bezpieczeństwa, który jest wybierany przez użytkownika przy pierwszym logowaniu. Dla przykładu, jeśli podczas wpisywania hasła pojawi się nieznana użytkownikowi grafika, wówczas nie powinien wpisywać on hasła do bankowości internetowej. Strona bowiem może być tzw. pułapką phishingową, a więc do złudzenia może przypominać prawdziwą stronę banku, a w rzeczywistości służyć jedynie do wyłudzania danych od internautów. Jak wskazuje ekspert warto nie tylko dbać o odpowiednią siłę haseł, ale również stosować odmienne hasła dla każdego serwisu. Można także rozważyć skorzystanie z menedżera haseł. Taki program nie tylko potrafi wygenerować skomplikowane, trudne do odgadnięcia hasła, ale również jest w stanie w bezpieczny sposób je przechowywać. Warto podkreślić, że niektóre antywirusy mają funkcję menedżera haseł, ponadto potrafią chronić użytkowników przed działaniem keyloggerów – programów, które wychwytują wpisywane w przeglądarkę dane.

Źródło: ESET


  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Kwiecień 2019»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
2930