Torek, 9. 7. 2024, 22.02
4 mesece, 2 tedna
Objavili največji seznam ukradenih gesel vseh časov: kdo vse je v nevarnosti?
Po hekerskih spletnih forumih, ki so dostopni tudi navadnim smrtnikom in ne le anonimnim internetnim skrivačem s poglobljenim znanjem računalništva, je prejšnji konec tedna zaokrožila nekaj več kot 45-gigabajtna datoteka, v kateri je največji seznam ukradenih gesel vseh časov. Podatkovna zbirka obsega skoraj deset milijard edinstvenih gesel, ki so bila ali pa so še vedno v uporabi. Strokovnjaki za informacijsko varnost, ki so prvi opozorili na rekordno skladovnico gesel, opozarjajo, da ta predstavlja izredno nevarnost predvsem za tiste uporabnike, ki so nagnjeni k uporabi istih gesel za prijavo v različne račune in ki ne uporabljajo preverjanja istovetnosti v dveh ali več korakih.
Zbirko gesel pod imenom RockYou2024 je prejšnji konec tedna na enega od hekerskih forumov delil uporabnik z imenom ObamaCare, kasneje pa je zaokrožila tudi po drugih podobnih forumih, kot je denimo tisti, na katerem so bili objavljeni podatki, ki so jih hekerji pred časom ukradli med vdorom v sistem za pošiljanje elektronskih sporočil časopisne hiše Večer.
Povezave do zbirke gesel na enem od hekerskih forumov, kjer uporabniki objavljajo predvsem ukradene podatkovne zbirke.
Velikost podatkovne baze RockYou2024 presega 45 gigabajtov, vsebuje pa 9.948.575.739 resničnih gesel resničnih uporabnikov in uporabnic spleta.
Gre za gesla, ki so bila ukradena med preteklimi vdori v računalniške sisteme najrazličnejših ponudnikov internetnih in drugih storitev. Večina gesel, nekaj več kot osem milijard, se je že pojavila v preteklih tovrstnih podatkovnih zbirkah, dobra milijarda in pol pa je novih oziroma strokovnjaki za informacijsko varnost v podobnih objavah ukradenih podatkov do zdaj nanje še niso naleteli.
Kot opozarjajo na portalu Cybernews, ki se ukvarja predvsem z varnostjo informacijskih sistemov in je prvi razkril, da se po hekerskih forumih širi skoraj deset milijard izmaknjenih gesel, zbirka RockYou2024 vsebuja gesla, ki so bila v zadnjih dveh desetletjih oziroma najmanj od leta 2009 ukradena iz vsaj štiri tisoč podatkovnih baz.
Kdo je lahko v nevarnosti?
Seznami gesel, kot je RockYou2024, se najpogosteje uporabljajo za tako imenovane napade oziroma poskuse vdorov v uporabniške račune s surovo silo ("brute force"), kar pomeni, da napadalci pri ugotavljanju gesla za tarčin uporabniški račun preprosto preizkusijo vsa razpoložljiva gesla v dani zbirki, v konkretnem primeru bi bila to RockYou2024.
Pri napadih s surovo silo lahko napadalec s posebno programsko opremo sicer tudi preprosto preizkusi vse mogoče kombinacije črk, številk in drugih simbolov, vendar gre za metodo, ki je lahko bolj časovno in zmogljivostno potratna – daljše ko je geslo, več časa in računske moči bo potrebne, da bo najdeno pravo. V primeru predolgih gesel je ta metoda vsaj za zdaj preveč dolgotrajna, da bi lahko bila res učinkovita.
Najboljši način za zaščito pred napadi s surovo silo je uporaba dvo- ali večstopenjskega preverjanja ob prijavi v uporabniške račune, na primer s pozivom, ki ga prejmemo na mobilni telefon, ali prek aplikacije za potrjevanje identitete, kot sta Googlov ali Microsoftov Authenticator. V tem primeru napadalcu naše geslo, četudi ga prek napada s surovo silo res ugane, ne koristi.
Pri Cybernews svarijo, da so ob javnih objavah večjih zbirk ukradenih gesel vselej v nevarnosti uporabniki, ki za prijave v različne uporabniške račune že dlje časa uporabljajo ista gesla. Sezname ukradenih gesel je namreč mogoče kombinirati z zbirkami drugih ukradenih podatkov, na primer e-poštnih naslovov ali uporabniških imen za različne internetne storitve.
Še posebej so ranljivi tisti uporabniki, ki ne le uporabljajo enaka gesla, temveč za prijavo v spletne račune ne uporabljajo večstopenjskega preverjanja identitete, na primer s prejetjem potrditvene kode prek sporočila SMS.
Kako preveriti, ali so bili ukradeni tudi naši podatki?
Eno najuporabnejših orodij je spletna stran Have I Been Pwned strokovnjaka za informacijsko varnost Troya Hunta, na kateri lahko vsak uporabnik preveri, ali je bil kateri od njegovih poštnih naslovov kdaj žrtev katerega od številnih kibernetskih vdorov v računalniške sisteme ponudnikov spletnih storitev ali kampanj kraje podatkov z zlonamernimi programi.
Have I Been Pwned trenutno razpolaga s podatki o kar 13,6 milijarde uporabniških računov, ki so bili ukradeni kar 783 različnim spletnim stranem. V bazi podatkov spletne strani je tudi notorična Zbirka #1, ki vsebuje seznam skoraj 773 milijonov različnih ukradenih e-poštnih naslovov in 22 milijonov unikatnih pripadajočih gesel, v njej pa smo odkrili tudi slovenske spletne strani.
Razkrili so tudi "mamo vseh internetnih kraj"
Ekipa portala Cybernews je v sodelovanju z Bobom Diachenkom, sicer lastnikom podjetja s področja kibernetske varnosti SecurityDiscovery.com, že v začetku leta 2024 razkrila eno največjih, če ne celo največjo bazo ukradenih uporabniških podatkov doslej.
V njej je bilo več kot 26 milijard različnih zapisov, ki izhajajo iz znanih preteklih in tudi morda še nekaterih neodkritih kibernetskih vdorov v različne spletne strani, storitve in strežnike vlad ter različnih organizacij.
Tako imenovana "mama vseh kraj" obsega za kar 12 terabajtov različnih dokumentov z e-poštnimi naslovi, uporabniškimi imeni, gesli in drugimi vnosi, ki so razporejeni v skoraj štiri tisoč map.
Delni seznam spletnih strani, ki so bile pred leti tarče hekerskih napadov, njihova vsebina, predvsem uporabniška imena, e-poštni naslovi in gesla, pa se zdaj redno pojavljajo v tako imenovanih "megazbirkah" ukradenih podatkov. Med njimi so tudi nekatere slovenske spletne strani, kot je razvidno s fotografije, tudi spletna stran vojak.si.
Kolosalna gmota uporabniških imen in gesel med drugim zajema podatke, ki so bili ukradeni družbenima omrežjema Twitter (zdaj X) in nekdaj zelo priljubljenemu MySpace, ponudniku shranjevanja podatkov v oblak Dropbox, družbenemu omrežju za iskanje zaposlitve in novih kadrov ter karierno mreženje LinkedIn, platformi za pretočno predvajanje glasbe Deezer, razvijalcu priložnostnih videoiger Zynga, gigantu industrije očal Luxottica, razvijalcu programske opreme za urejanje fotografij in grafike Adobe, aplikaciji za sledenje vnosu živil in beleženje telesne vadbe MyFitnessPal.
Gre za ponudnike storitev (in izdelkov), ki so od "zelo" do "zmerno" prepoznavni tudi v Sloveniji, zato je bilo zelo verjetno, da so med ukradenimi podatki tudi podatki Slovenk in Slovencev.
Daleč največji podatkovni bazi, ki sta del "mame vseh ukradenih podatkovnih baz", sicer pripadata kitajskima tehnološkima velikanoma Tencent in Weibo.