Četrtek, 18. 1. 2024, 16.32
11 mesecev, 1 teden
Zloglasni seznam Naz.API: preverite, če ste se znašli na njem
Po hekerskih forumih kroži ogromen seznam ukradenih uporabniških imen, e-poštnih naslovov in gesel za različne spletne strani in storitve, med katerimi so tudi družbeno omrežje Facebook ter ponudniki e-pošte. Več deset milijonov kombinacij uporabniških imen in gesel je novih, kar pomeni, da se do zdaj še nikoli niso pojavile v znanih bazah ukradenih podatkov.
Podatkovna baza Naz.API, v kateri je skupno 319 datotek v velikosti 104 gigabajte, vsebuje pa skoraj 71 milijonov različnih e-poštnih naslovov s pripadajočimi gesli, teh je v bazi kar sto milijonov, in ponekod tudi uporabniškimi imeni, je po nekaterih relativno prepoznavnih spletnih trgih za preprodajo ukradenih podatkov začela krožiti pred približno štirimi meseci.
Seznami med drugim vsebujejo prijavne podatke za spletne strani in storitve, kot so družbeno omrežje Facebook, spletna pošta Yahoo! Mail, kriptomenjalnica Coinbase, tržišče Ebay, videoigra Roblox, če naštejemo nekaj najbolj prepoznavnih.
Na podatkovno bazo Naz.API je šele zdaj, potem ko so mu jo poslali iz "prepoznavnega" podjetja s področja kibernetske varnosti, kot prvi javno opozoril Troy Hunt, varnostni strokovnjak, ki je znan kot upravljavec spletne strani Have I Been Pwned, na kateri lahko vsak uporabnik preveri, ali so bili njegovi osebni podatki že kdaj ogroženi zaradi hekerskih napadov.
Peščica od več milijonov vrstic z ukradenimi podatki, ki so del le ene od datotek v bazi Naz.API.
Hunt je v zapisu na svojem blogu izpostavil, da gre za odkritje, na kakršnega ni naletel že nekaj časa. Okrog 25 milijonov od nekaj manj kot 71 milijonov ukradenih e-poštnih naslovov in gesel je bilo novih, kar pomeni, da se te kombinacije do zdaj niso pojavile še na nobenem od seznamov ukradenih podatkov za prijavo v uporabniške račune, s katerimi je imel opravka v zadnjem desetletju.
Ob tem je opozoril, da ukradeni podatki v konkretnem primeru ne izhajajo iz večjih hekerskih napadov na ponudnike storitev, temveč gre za e-poštne naslove in gesla, ki so bila s pomočjo zlonamernih programov za prestrezanje podatkov za prijavo ukradena neposredno z računalnikov in drugih naprav njihovih tarč. Ukradeni podatki v bazi Naz.API namreč niso tako ali drugače šifrirani, temveč so zapisani kot navadno besedilo.
Dodal je, da so nekatera gesla na seznamih že precej stara in so bila uporabnikom najverjetneje ukradena že pred letom 2011 ter da je večina gesel zelo šibkih in da bi jih z lahkoto razkrinkal že preprost napad s "slovarjem", to je z uporabo orodja, ki kot geslo preizkusi vse mogoče kombinacije črk in besed.
Kako preveriti, ali so bili ukradeni tudi naši podatki?
Troy Hunt je sezname v bazi Naz.API dodal svoji spletni strani Have I Been Pwned, na kateri lahko vsak uporabnik preveri, ali je bil kateri od njegovih poštnih naslovov kdaj žrtev katerega od številnih kibernetskih vdorov v računalniške sisteme ponudnikov spletnih storitev ali kampanj kraje podatkov z zlonamernimi programi.
Ali se je kateri od naših e-poštnih naslovov kdaj znašel v zbirki ukradenih podatkov, lahko preverimo tako, da naslov vpišemo v polje na spletni strani Have I Been Pwned in kliknemo na gumb pwned?. Troy Hunt na spletni strani sicer ne shranjuje vnešenih e-poštnih naslovov.
Have I Been Pwned trenutno razpolaga s podatki o skoraj trinajstih milijardah uporabniških računov, ki so bili ukradeni kar 741 različnim spletnim stranem. V bazi podatkov spletne strani je tudi notorična Zbirka #1, ki vsebuje seznam skoraj 773 milijonov različnih ukradenih e-poštnih naslovov in 22 milijonov unikatnih pripadajočih gesel, v njej pa smo odkrili tudi slovenske spletne strani.
Za glede zasebnosti posebej občutljive in skeptične uporabnike
Hunt vse uporabniške poizvedbe na svojih spletnih straneh šifrira in s tem zagotovi, da ne on sam ne kdo drug nikoli ne more videti, kakšen podatek je uporabnik vpisal v kateri koli obrazec na njegovem portalu. Pri šifriranju mu je z gradnjo tehnološke infrastrukture na pomoč priskočil Cloudflare, eno največjih in najbolj prepoznavnih podjetij za zagotavljanje spletne varnosti na svetu. Iskanja v obrazcih za e-poštne naslove in gesla tudi niso povezana.
Kaj storiti, če se najdem na seznamu ukradenih e-poštnih naslovov in gesel
Če za prizadeti e-poštni naslov oziroma za spletno storitev, ki je povezana z njim, še vedno uporabljate isto geslo, je najpomembnejši prvi korak zamenjava starega gesla z novim, močnejšim in zapletenejšim.
Kako izbrati zanesljivo geslo, lahko preverite v tem članku. Uporabite lahko tudi katerega od programov, ki si geslo zapomnijo namesto vas, kot so KeePass, Dashlane, 1Password, LastPass. Izmišljanje in shranjevanje gesla lahko prepustite tudi spletnemu brskalniku.
Pomembno: ukradeni e-poštni naslovi in gesla, ki jih najdemo na Have I Been Pwned, so temelj prevare, ki občasno terorizira tudi Slovence
Slovenski uporabniki so že večkrat prejeli e-poštna sporočila, v katerih jih je pošiljatelj izsiljeval, naj mu plačajo odkupnino v kriptovaluti bitcoin, sicer bo njihovim stikom poslal videoposnetek, na katerem je domnevno on med gledanjem spletnih pornografskih vsebin. Izsiljevalec je grožnjo podkrepil z dokazom – resničnim geslom enega od njihovih uporabniških računov.
Prevarant v e-poštnem sporočilu uporabniku pojasni, da je profesionalni heker in da je njegov računalnik prek spletnih strani s pornografsko vsebino, ki naj bi jih obiskovala njegova žrtev, okužil s trojanskim konjem, virusom, ki mu omogoča prevzem nadzora nad uporabnikovim računalnikom. Več mesecev naj bi nato spremljal, kaj uporabnik počne na računalniku in katere spletne strani s pornografsko vsebino obiskuje. Nato je ustvaril videoposnetek s sliko v sliki: na eni strani je erotični videoposnetek, ki ga je gledal uporabnik, na drugi pa posnetek uporabnika med gledanjem erotičnega videoposnetka in samozadovoljevanjem, trdi prevarant.
Goljufi oziroma pošiljatelji izsiljevalskih sporočil računajo na to, da bo prejemnika zgrabila panika, saj se bo ustrašil javnega sramotenja z objavo domnevnega videoposnetka, na katerem naj bi gledal pornografijo in se samozadovoljeval.
Toda gre za prazne grožnje. Več podjetij za informacijsko varnost in tudi slovenska policija je v zadnjih letih opozorilo, da gre za tako imenovani spam oziroma nadležno elektronsko pošto, ki jo goljufi v upanju, da se bo kdo ujel na limanice, pošiljajo množično, torej na milijone e-poštnih naslovov.
Tudi če svojo grožnjo podkrepijo z domnevno ukradenim geslom, ki ga uporabnik res prepozna kot svojega, to ne pomeni, da so mu dejansko vdrli v računalnik. Gesla namreč dobijo iz podatkovnih baz, ki so nastale s hekerskimi vdori v strežnike velikih tehnoloških podjetij, ki so se zgodili v zadnjem desetletju in med katerimi je bilo ukradenih ogromno kombinacij uporabniških imen in gesel. Te podatkovne baze, kot zgoraj omenjena Naz.API, pogosto krožijo po hekerskih forumih, občasno pa so dostopne tudi na spletnih straneh za deljenje datotek.
Prevarant v tem primeru seveda računa na to, da njegova žrtev ali ni vedela, da je bilo njeno geslo kdaj na seznamu ukradenih ali da bo isto geslo takoj prepoznala in se prestrašila, ker ga uporablja za prijavo v več spletnih strani, morda tudi v e-poštni predal ali Facebook.