Runiet (ros. Рунет), czyli rosyjskojęzyczny internet, od kilku dni huczy od doniesień na temat wycieku loginów i haseł z kilku serwisów udostępniających usługi pocztowe. Jeszcze w sobotę - 6 września - na forum Bitcoin Security pojawiła się lista zawierająca dane dostępowe do 1 261 809 kont założonych w serwisie Yandex (ros. Яндекс), który na rosyjskim rynku wyszukiwarek od lat prześciga Google. Dwa dni później ta sama osoba - podpisująca się jako tvskit - udostępniła do pobrania archiwum .7z z hasłami do 4 664 478 skrzynek w serwisie Mail.ru.

Wisienką na torcie okazał się wątek założony wczoraj przed północą, którego autor zapewnił, że jest w posiadaniu 4 929 090 haseł do kont w Gmailu, co wywołało zrozumiałe zainteresowanie także zagranicznych mediów. W Polsce jako pierwsi przyjrzeli się sprawie Zaufana Trzecia Strona i Niebezpiecznik, niezależnie od siebie dochodząc do wniosku, że wycieki te nie są wynikiem włamania na serwery wspomnianych usługodawców.

Jak doszło do zgromadzenia milionów haseł?

Scenariuszy mogło być kilka. Według Niebezpiecznika część danych dostępowych mogła zostać pozyskana w wyniku phishingu, np. podczas prób zalogowania się użytkowników na fałszywych stronach przypominających do złudzenia oryginalne. Dużo haseł mogło zostać skradzionych przez szkodliwe oprogramowanie zainstalowane w systemach ofiar - istnieje mnóstwo sposobów na jego skuteczne rozpowszechnianie (np. całkiem niedawno wielu Polaków otrzymało e-maile zawierające rzekomo faktury od operatorów, takich jak Vectra, UPC czy Netia, które okazały się złośliwymi aplikacjami).

Zgromadzenie aż tylu haseł było na pewno procesem długofalowym, trwającym miesiące, a nawet lata. Niewykluczone, że część pochodzi z ataków na słabo zabezpieczone fora internetowe. Mimo ostrzeżeń ekspertów wciąż wielu użytkowników korzysta z tych samych haseł w kilku różnych serwisach - włamywacze bez problemu mogli sprawdzić, czy hasła używane przez poszczególne osoby w zhackowanym serwisie pasują również do ich skrzynek pocztowych.

Co ciekawe, użytkownik forum Bitcoin Security pierwotnie udostępnił plik wyłącznie z adresami e-mail. Na dowód, że posiada też hasła, opublikował tylko poniższy zrzutu ekranu:

Pełna baza wypłynęła do sieci dopiero po kilkunastu godzinach od założenia wątku. Nieco szybciej pojawiła się strona isleaked.com umożliwiająca sprawdzenie, czy nasz adres e-mail znajduje się na liście skradzionych. Uwaga! Nie zachęcam do tego. Twórcy strony zapewniają, że nie przechowują wpisywanych adresów ani logów, co jednak nie musi być prawdą - formularz może zostać w każdej chwili zmodyfikowany, a zebrane z jego pomocą dane mogą trafić do rąk spamerów.

Zmianę haseł czas zacząć

Wszystkim użytkownikom Gmaila - niezależnie od tego, czy zdecydują się skorzystać z powyższej strony i znajdą swoje konto na liście, czy też nie - radzę profilaktycznie zmienić hasło, w szczególności jeśli dawno tego nie robili albo używali takiego samego hasła w kilku serwisach. Przedtem warto sprawdzić filtry w Gmailu pod kątem takich, które przekazują e-maile do innych skrzynek (jeśli zobaczycie wśród nich te, które do Was nie należą, natychmiast usuńcie). Dobrym pomysłem będzie również włączenie dwuskładnikowego uwierzytelniania.