Úniky obrovských databází s uživatelskými účty všemožných webových služeb nejsou ničím novým a nevyhýbají se ani podobným velikánům jako Sony nebo třeba Adobe. Asi bychom dnes tedy jen těžko hledali zkušenějšího surfaře, který si na základě podobných průlomů do nitra webů nezměnil z bezpečnostních důvodů přístupové heslo. Některé postižené služby k tomu ostatně v minulosti samy vybízely nebo obětem rovnou resetovaly heslo.
Jelikož se poslední roky jako přihlašovací jméno ve velké míře používá e-mailová adresa, ze které se stal jakýsi nepsaný identifikační standard, při každém takovém leaku se přirozeně leckdo zděsí toho, že se hackerům podařilo prolomit třeba do Gmailu a Outlooku. Není se čemu divit, pokud totiž v milionech a milionech uniklých loginů figurují v ohromném množství právě jejich poštovní domény, na první pohled to opravdu vypadá, že se jedná o jejich zcizené databáze, ačkoliv je tomu zpravidla trošku jinak.
Když loni na web unikla uživatelská databáze ze seznamky Ashley Madison, každý si mohl dešifrovat hesla milionů záletníků, na které se služba specializovala
Miliarda ukradených hesel za 18 korun
Jisté pozdvižení aktuálně vzbudila i zpráva bezpečnostní společnosti Hold Security. Její analytiky zaujala nabídka jistého hackera na undergroundovém fóru, který nabízel k prodeji miliony e-mailových adres a hesel.
Z hackera se nakonec vyklubal mladík odkudsi z ruského maloměsta a z poskytnutých vzorků dat pouze staré úniky. Jinými slovy, hacker prostě posbíral stovky milionů starších krádeží, spojil je dohromady a nabízel v jednom obřím souboru za pakatel. A to doslova, účtoval si totiž směšných padesát rublů; tedy po přepočtu asi osmnáct korun!
Úniky hesel neslouží pouze k pokusu o průnik do jednotlivých uživatelských účtů, ale i pro generování obřích slovníků, které pak lze použít třeba k prolamování hesel Wi-Fi sítí, zašifrovaných souborů aj. Díky únikům hesel například víme, že dlouhodobě patří k populárním heslům číselné řady 1-9, proto figurují v podobných slovnících hned na začátku.
Etický kodex Hold Security zakazuje nákup kradených dat, a tak ruského klučinu přemlouvali tak dlouho, dokud nekývl a data jim nedal zdarma s tím, že napíšou v kyberscéně nějaký ten pochvalný komentář. To není moc příjemné zjištění. Dokud hacker požaduje peníze, úniky se nedostanou k širšímu publiku. Pokud mu ale stačí zvýšení karmy nebo prostě veřejná pochvala od respektovaných specialistů, znamená to, že se ke kradeným datům dostane prakticky kdokoliv.
Když se ovšem analytici pustili do ověřování získaných dat, zjistili, že se v drtivé většině případů jedná opravdu jen o staré úniky, které tu již byly – třeba právě zmíněný útok na Adobe a Sony, které se v různých podobách šíří internetem dodnes.
A tak v Hold Security tlačili na mladého hackera dál, až jim po několikadenní poštovní komunikaci skutečně odhalil svůj poklad v podobě obřího balíku 1,17 miliard loginů (e-mailů) a hesel. Soubor byl sice opět plný duplikátů, takže se ve skutečnosti jednalo pouze o 272 milionů unikátních párů, ovšem 42,5 milionů z nich se na scéně objevily úplně poprvé, aniž by to byl starší kompilát.
Dohromady čtvrtmiliardový balík čítal mimo jiné:
- 57 milionů adres z Mail.ru
- 40 milionů adres z Yahoo
- 33 milionů adres z Hotmailu (Outlook.com)
- 24 milionů adres z Gmailu
Jak už jsem ale nastínil výše, rozhodně to neznamená, že tato data získal útočník díky nějaké neznámé slabině přímo v těchto službách. To by byla opravdu senzace, protože úspěšný a takto masivní útok třeba právě na Gmail tu ještě nebyl. Spíše jde tedy pouze o krádeže chabě zabezpečených databází někoho dalšího, kde používáme tyto e-mailové adresy.
Stále ta stejná písnička: stejná hesla napříč službami
Co je však horší, podle Hold Security ohromné množství obětí nadále používá stejné kombinace hesla napříč službami, čili ačkoliv se mohlo jednat o únik hesla z nějakého malého a chabě zabezpečeného webu, stejné heslo by fungovalo i při pokusu o přihlášení na skutečný Gmail.
Dvoufázové přihlašování je lék na všechny podobné úniky, k úspěšnému přihlášení totiž nestačí pouze login a heslo, ale zpravidla potřebujete i ověřovací kód, který dorazí třeba ve formě SMS na telefon
Pokud bychom sečetli všechny velké úniky přihlašovacích informací v několika posledních letech, získáme balík několika miliard schránek. Svým způsobem lze tedy konstatovat, že je velmi pravděpodobné, že kdesi po síti poletuje i pár e-mail/heslo mnoha z nás.
O to důležitější je používat napříč službami různá hesla a u těch, které to umějí, také dvoufázové přihlašování. A jelikož je to i případ Googlu nebo Microsoftu, surfaři, kteří toto bezpečnější přihlašování používají, mohou zůstat v případě krádeže hesla v klidu, protože útočníkovi samo o sobě nebude stačit – musel by získat i váš telefon.
