Ruský mladík prodával miliardu ukradených hesel za 18 korun

  • Ruský mladík nabízel miliardu hesel za 50 rublů
  • Nakonec je dal analytikům zadarmo
  • Na seznamu byly i miliony hesel do Gmailu, Outlooku aj.

Úniky obrovských databází s uživatelskými účty všemožných webových služeb nejsou ničím novým a nevyhýbají se ani podobným velikánům jako Sony nebo třeba Adobe. Asi bychom dnes tedy jen těžko hledali zkušenějšího surfaře, který si na základě podobných průlomů do nitra webů nezměnil z bezpečnostních důvodů přístupové heslo. Některé postižené služby k tomu ostatně v minulosti samy vybízely nebo obětem rovnou resetovaly heslo.

Jelikož se poslední roky jako přihlašovací jméno ve velké míře používá e-mailová adresa, ze které se stal jakýsi nepsaný identifikační standard, při každém takovém leaku se přirozeně leckdo zděsí toho, že se hackerům podařilo prolomit třeba do Gmailu a Outlooku. Není se čemu divit, pokud totiž v milionech a milionech uniklých loginů figurují v ohromném množství právě jejich poštovní domény, na první pohled to opravdu vypadá, že se jedná o jejich zcizené databáze, ačkoliv je tomu zpravidla trošku jinak.

Klepněte pro větší obrázek
Když loni na web unikla uživatelská databáze ze seznamky Ashley Madison, každý si mohl dešifrovat hesla milionů záletníků, na které se služba specializovala

Miliarda ukradených hesel za 18 korun

Jisté pozdvižení aktuálně vzbudila i zpráva bezpečnostní společnosti Hold Security. Její analytiky zaujala nabídka jistého hackera na undergroundovém fóru, který nabízel k prodeji miliony e-mailových adres a hesel.

Z hackera se nakonec vyklubal mladík odkudsi z ruského maloměsta a z poskytnutých vzorků dat pouze staré úniky. Jinými slovy, hacker prostě posbíral stovky milionů starších krádeží, spojil je dohromady a nabízel v jednom obřím souboru za pakatel. A to doslova, účtoval si totiž směšných padesát rublů; tedy po přepočtu asi osmnáct korun!

Klepněte pro větší obrázek
Úniky hesel neslouží pouze k pokusu o průnik do jednotlivých uživatelských účtů, ale i pro generování obřích slovníků, které pak lze použít třeba k prolamování hesel Wi-Fi sítí, zašifrovaných souborů aj. Díky únikům hesel například víme, že dlouhodobě patří k populárním heslům číselné řady 1-9, proto figurují v podobných slovnících hned na začátku.  

Etický kodex Hold Security zakazuje nákup kradených dat, a tak ruského klučinu přemlouvali tak dlouho, dokud nekývl a data jim nedal zdarma s tím, že napíšou v kyberscéně nějaký ten pochvalný komentář. To není moc příjemné zjištění. Dokud hacker požaduje peníze, úniky se nedostanou k širšímu publiku. Pokud mu ale stačí zvýšení karmy nebo prostě veřejná pochvala od respektovaných specialistů, znamená to, že se ke kradeným datům dostane prakticky kdokoliv.

Když se ovšem analytici pustili do ověřování získaných dat, zjistili, že se v drtivé většině případů jedná opravdu jen o staré úniky, které tu již byly – třeba právě zmíněný útok na Adobe a Sony, které se v různých podobách šíří internetem dodnes.

A tak v Hold Security tlačili na mladého hackera dál, až jim po několikadenní poštovní komunikaci skutečně odhalil svůj poklad v podobě obřího balíku 1,17 miliard loginů (e-mailů) a hesel.  Soubor byl sice opět plný duplikátů, takže se ve skutečnosti jednalo pouze o 272 milionů unikátních párů, ovšem 42,5 milionů z nich se na scéně objevily úplně poprvé, aniž by to byl starší kompilát.

Dohromady čtvrtmiliardový balík čítal mimo jiné:

  • 57 milionů adres z Mail.ru
  • 40 milionů adres z Yahoo
  • 33 milionů adres z Hotmailu (Outlook.com)
  • 24 milionů adres z Gmailu

Jak už jsem ale nastínil výše, rozhodně to neznamená, že tato data získal útočník díky nějaké neznámé slabině přímo v těchto službách. To by byla opravdu senzace, protože úspěšný a takto masivní útok třeba právě na Gmail tu ještě nebyl. Spíše jde tedy pouze o krádeže chabě zabezpečených databází někoho dalšího, kde používáme tyto e-mailové adresy.

Stále ta stejná písnička: stejná hesla napříč službami

Co je však horší, podle Hold Security ohromné množství obětí nadále používá stejné kombinace hesla napříč službami, čili ačkoliv se mohlo jednat o únik hesla z nějakého malého a chabě zabezpečeného webu, stejné heslo by fungovalo i při pokusu o přihlášení na skutečný Gmail.

Klepněte pro větší obrázek
Dvoufázové přihlašování je lék na všechny podobné úniky, k úspěšnému přihlášení totiž nestačí pouze login a heslo, ale zpravidla potřebujete i ověřovací kód, který dorazí třeba ve formě SMS na telefon

Pokud bychom sečetli všechny velké úniky přihlašovacích informací v několika posledních letech, získáme balík několika miliard schránek. Svým způsobem lze tedy konstatovat, že je velmi pravděpodobné, že kdesi po síti poletuje i pár e-mail/heslo mnoha z nás.

O to důležitější je používat napříč službami různá hesla a u těch, které to umějí, také dvoufázové přihlašování.  A jelikož je to i případ Googlu nebo Microsoftu, surfaři, kteří toto bezpečnější přihlašování používají, mohou zůstat v případě krádeže hesla v klidu, protože útočníkovi samo o sobě nebude stačit – musel by získat i váš telefon.

Témata článku: Web, Bezpečnost, Hacking, Rusko

10 komentářů

Nejnovější komentáře

  • Python.P 7. 5. 2016 0:40:58
    To je fakt nutný na českém portálu, používat cizí slova ? Asi to pak...
  • Net.Xtreme 6. 5. 2016 14:19:15
    By mě zajímalo, kde se dají tyhle databáze stáhnout, docela rád bych...
  • 5h1nj1 6. 5. 2016 11:21:38
    Kdybych u kazde ptakoviny pouzival dvoufazove overovani, tak nedelam nic...

Určitě si přečtěte


Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

** Vyhledávače jsou natolik dobré, že si poradí i s frází v běžné češtině ** Pokud to ale nebude stačit, můžete vyzkoušet pokročilé funkce ** Vybrali jsme ty nejzajímavější

25.  9.  2016 | Jakub Čížek | 19

9 nejlepších programů na úpravu fotek. Placené i zdarma

9 nejlepších programů na úpravu fotek. Placené i zdarma

** Pro běžné úpravy fotek nemusíte pirátit Photoshop, vystačíte si s levnějšími programy ** Ceny pokročilých editorů se většinou vejdou do dvou tisíc korun ** Mnohdy stačí i bezplatné nástroje

26.  9.  2016 | Stanislav Janů | 49

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

** V systému se mohou periodicky spouštět nechtěné aplikace ** Anebo si vyberou tu nejméně vhodnou chvíli ** Prozkoumejte Plánovač úloh na Windows

23.  9.  2016 | Jakub Čížek | 128

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

** Budeme odposlouchávat IR ovladač klimatizace ** Vyrobíme laciný rádiový vysílač ** Vyzkoušíme komunikaci pomocí Bluetooth a v pásmu 433 MHz

21.  9.  2016 | Jakub Čížek | 19

Týden Živě: Zvyknou si Češi platit paušál za software?

Týden Živě: Zvyknou si Češi platit paušál za software?

** Zoner vypustil do světa nové Photo Studio. Je za paušál. ** HP nechce neoficiální inkoust ** Koutek časopisu Computer

25.  9.  2016 | Časopis Computer | 65

Komentář: Apple pořád inovuje, ale jen když musí

Komentář: Apple pořád inovuje, ale jen když musí

** Největší inovace vždy vychází z radikálních kroků ** Apple není v situaci, kdy by jej ke změnám něco tlačilo ** Chybí-li na trhu konkurence, nemůžou existovat ani invoace

22.  9.  2016 | Stanislav Janů | 139