Matic Tomšič

Petek,
18. 1. 2019,
4.11

Osveženo pred

5 let, 8 mesecev

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue Green 4,96

3

Natisni članek

Natisni članek

prevara nasvet hekerji gesla

Petek, 18. 1. 2019, 4.11

5 let, 8 mesecev

Razkritje ogromne Zbirke #1: preverite, ali so v njej vaši ukradeni podatki

Matic Tomšič

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue Green 4,96

3

Have I Been Pwned | Na seznamu več tisoč spletnih strani, s katerih so bili ukradeni podatki o uporabnikih, je mogoče najti tudi nekaj takšnih s slovensko internetno domeno .si.  | Foto Matic Tomšič / Posnetek zaslona

Na seznamu več tisoč spletnih strani, s katerih so bili ukradeni podatki o uporabnikih, je mogoče najti tudi nekaj takšnih s slovensko internetno domeno .si.

Foto: Matic Tomšič / Posnetek zaslona

Na splet je nekdo naložil velikansko datoteko z imenom "Zbirka #1", ki vsebuje seznam skoraj 773 milijonov različnih ukradenih e-poštnih naslovov in 22 milijonov unikatnih pripadajočih gesel. Zbirko je analiziral znani strokovnjak za informacijsko varnost in jo naložil na svojo spletno stran, kjer lahko vsak preveri, ali so med ukradenimi podatki tudi njegovi, in nato ustrezno ukrepa. 

Datoteko Zbirka #1 (Collection #1 po angleško) so odkrili uporabniki hekerskega foruma in o njej obvestili strokovnjaka za informacijsko varnost Troya Hunta, ki upravlja znano spletno stran za preverjanje zlorab osebnih podatkov Have I Been Pwned

Delo Avstralca Troya Hunta na področju osveščanja o pomembnosti kibernetske varnosti je bilo že večkrat nagrajeno. Ameriški računalniški velikan Microsoft ga je leta 2011 s priznanjem Microsoft MVP označil za enega najpomembnejših tehnoloških strokovnjakov na svetu. | Foto: Thomas Hilmes/Wikimedia Commons Delo Avstralca Troya Hunta na področju osveščanja o pomembnosti kibernetske varnosti je bilo že večkrat nagrajeno. Ameriški računalniški velikan Microsoft ga je leta 2011 s priznanjem Microsoft MVP označil za enega najpomembnejših tehnoloških strokovnjakov na svetu. Foto: Thomas Hilmes/Wikimedia Commons

Hunt je v ogromni, kar 87 gigabajtov veliki datoteki odkril 2,7 milijarde vrstic dolg seznam e-poštnih naslovov in gesel. Ko ga je preučil natančneje, mu je seznam uspelo skrčiti na blizu 773 milijonov e-poštnih naslovov, ki jim je skupno pripadalo okoli 22 milijonov različnih gesel. Gre za osebne podatke, ki so bili med različnimi hekerskimi napadi pridobljeni v zadnjem desetletju. 

Marriott, hotel
Novice Katastrofa največje svetovne hotelske verige segla tudi do Slovenije

Kdor želi ugotoviti, ali so med ukradenimi e-poštnimi naslovi in gesli tudi njegovi podatki, lahko obišče Huntovo spletno stran Have I Been Pwned in pripadajočo Pwned Passwords.

V prvo vpiše svoj e-poštni naslov, za katerega ga skrbi, da se je morda znašel na katerem od seznamov hekerjev, na drugi pa preveri, kako unikatno je njegovo geslo oziroma ali podobno uporablja tudi kdo drug. 

Takole je videti, ali je bil uporabnikov e-poštni naslov dejansko vključen na enega od seznamov ukradenih podatkov, ki jih je Troy Hunt naložil na spletno stran Have I Been Pwned. V konkretnem primeru se je avtorjev e-poštni naslov pojavil v petih zbirkah ukradenih podatkov, med drugim v najbolj sveži Zbirki #1.  | Foto: Matic Tomšič Takole je videti, ali je bil uporabnikov e-poštni naslov dejansko vključen na enega od seznamov ukradenih podatkov, ki jih je Troy Hunt naložil na spletno stran Have I Been Pwned. V konkretnem primeru se je avtorjev e-poštni naslov pojavil v petih zbirkah ukradenih podatkov, med drugim v najbolj sveži Zbirki #1. Foto: Matic Tomšič

Za glede zasebnosti posebej občutljive in skeptične uporabnike

Hunt vse uporabniške poizvedbe na svojih spletnih straneh šifrira in s tem zagotovi, da ne on sam ne kdo drug nikoli ne more videti, kakšno geslo je uporabnik vpisal v obrazec na portalu Pwned Passwords.

Pri šifriranju mu je z gradnjo tehnološke infrastrukture na pomoč priskočil Cloudflare, eno največjih in najbolj prepoznavnih podjetij za zagotavljanje spletne varnosti na svetu. Iskanja v obrazcih za e-poštne naslove in gesla tudi niso povezana.

Če iskalnik gesel pokaže sporočilo Oh no! (O, ne!), to pomeni, da se je geslo, ki smo ga preverili, pojavilo na enem od seznamov ukradenih podatkov in ga bo zato najbolje zamenjati. V konkretnem primeru smo v iskalnik na spletni strani Pwned Passwords vpisali "12345678" - vidimo lahko, da je to geslo, ki ga je zelo preprosto uganiti, pripadalo skoraj trem milijonom e-poštnih naslovov, ki so se znašli v ukradenih zbirkah podatkov.  | Foto: Matic Tomšič / Posnetek zaslona Če iskalnik gesel pokaže sporočilo Oh no! (O, ne!), to pomeni, da se je geslo, ki smo ga preverili, pojavilo na enem od seznamov ukradenih podatkov in ga bo zato najbolje zamenjati. V konkretnem primeru smo v iskalnik na spletni strani Pwned Passwords vpisali "12345678" - vidimo lahko, da je to geslo, ki ga je zelo preprosto uganiti, pripadalo skoraj trem milijonom e-poštnih naslovov, ki so se znašli v ukradenih zbirkah podatkov. Foto: Matic Tomšič / Posnetek zaslona

Kaj storiti, če se najdem na seznamu ukradenih e-poštnih naslovov in gesel

Če za prizadeti e-poštni naslov oziroma za spletno storitev, ki je povezana z njim, še vedno uporabljate isto geslo, je najpomembnejši prvi korak zamenjava starega gesla z novim, močnejšim in bolj zapletenim.

Kako izbrati zanesljivo in neprebojno geslo, preverite v tem članku. Uporabite lahko tudi katerega od programov, ki si geslo zapomnijo namesto vas, kot so KeePassDashlane1Password, LastPass. Izmišljanje in shranjevanje gesla lahko prepustite tudi spletnemu brskalniku Chrome, če ga uporabljate. 

Novice Me lahko slovenski državni organi prisilijo, da razkrijem svoje geslo?

Pomembno: ukradeni e-poštni naslovi in gesla, ki jih najdemo na Have I Been Pwned, so temelj prevare, ki občasno terorizira tudi Slovence

Lani je več slovenskih uporabnikov prejelo e-poštna sporočila, v katerih jih je pošiljatelj izsiljeval, naj mu plačajo odkupnino v kriptovaluti bitcoin, sicer bo njihovim stikom poslal videoposnetek, na katerem je domnevno on med gledanjem spletnih pornografskih vsebin. Izsiljevalec je grožnjo podkrepil z dokazom - resničnim geslom enega od njihovih uporabniških računov. 

Plačaj več kot 1.600 evrov v bitcoinih ali pa se sooči s posledicami, grozi pošiljatelj sporočila.  | Foto: Varni na internetu / Slovenska policija Plačaj več kot 1.600 evrov v bitcoinih ali pa se sooči s posledicami, grozi pošiljatelj sporočila. Foto: Varni na internetu / Slovenska policija

Čeprav je geslo morda pravilno in ga uporabnik prepozna, ga prevarant ni pridobil neposredno od njega, temveč iz ene od zbirk ukradenih uporabniških imen in gesel. Gre za iste podatkovne baze, ki jih Troy Hunt za preverjanje morebitne ogroženosti nalaga na spletno stran Have I Been Pwned. 

Prevarant seveda računa na to, da njegova žrtev ali ni vedela, da je bilo njeno geslo kdaj na seznamu ukradenih, ali da bo geslo takoj prepoznala in se prestrašila, ker ga še vedno uporablja za prijavo v več spletnih strani, morda tudi v e-poštni predal, Facebook ali plačilni servis. 

Novice "Prodaj avto in pošlji denar!" Preberite, kako se je naša bralka skoraj opekla.

Slovenska policija uporabnike, ki so prejeli to e-poštno sporočilo, opozarja, naj prevarantu nikar ne nasedejo, saj gre za lažno predstavljanje določenih dejstev in primer tako imenovane neželene "spam" e-pošte.

Na sporočilo naj tudi ne odgovarjajo, ne odpirajo datotek v priponkah, ne klikajo na povezave v sporočilu in pošiljatelju ne posredujejo svojih osebnih podatkov. Če so vendarle oškodovani, pa naj to nemudoma prijavijo na najbližji policijski postaji. 

Preberite tudi:

Prevara Facebook
Novice Kaj je v ozadju zapisa, ki ga panično delijo številni Slovenci
Vinjeta 2019, vinjeta
Novice Če še niste kupili nove vinjete, je nikar ne poskusite dobiti po tej poti #video
Aplikacije
Novice Skrb zbujajoče razkritje meče zelo slabo luč na svetovno znane aplikacije
SMS, prevara
Novice Slovenci prejemajo sumljiva sporočila, ki vodijo do zagrebškega podjetja