reklama

Ruský mladík prodával miliardu ukradených hesel za 18 korun

  • Ruský mladík nabízel miliardu hesel za 50 rublů
  • Nakonec je dal analytikům zadarmo
  • Na seznamu byly i miliony hesel do Gmailu, Outlooku aj.

Úniky obrovských databází s uživatelskými účty všemožných webových služeb nejsou ničím novým a nevyhýbají se ani podobným velikánům jako Sony nebo třeba Adobe. Asi bychom dnes tedy jen těžko hledali zkušenějšího surfaře, který si na základě podobných průlomů do nitra webů nezměnil z bezpečnostních důvodů přístupové heslo. Některé postižené služby k tomu ostatně v minulosti samy vybízely nebo obětem rovnou resetovaly heslo.

Jelikož se poslední roky jako přihlašovací jméno ve velké míře používá e-mailová adresa, ze které se stal jakýsi nepsaný identifikační standard, při každém takovém leaku se přirozeně leckdo zděsí toho, že se hackerům podařilo prolomit třeba do Gmailu a Outlooku. Není se čemu divit, pokud totiž v milionech a milionech uniklých loginů figurují v ohromném množství právě jejich poštovní domény, na první pohled to opravdu vypadá, že se jedná o jejich zcizené databáze, ačkoliv je tomu zpravidla trošku jinak.

Klepněte pro větší obrázek
Když loni na web unikla uživatelská databáze ze seznamky Ashley Madison, každý si mohl dešifrovat hesla milionů záletníků, na které se služba specializovala

Miliarda ukradených hesel za 18 korun

Jisté pozdvižení aktuálně vzbudila i zpráva bezpečnostní společnosti Hold Security. Její analytiky zaujala nabídka jistého hackera na undergroundovém fóru, který nabízel k prodeji miliony e-mailových adres a hesel.

Z hackera se nakonec vyklubal mladík odkudsi z ruského maloměsta a z poskytnutých vzorků dat pouze staré úniky. Jinými slovy, hacker prostě posbíral stovky milionů starších krádeží, spojil je dohromady a nabízel v jednom obřím souboru za pakatel. A to doslova, účtoval si totiž směšných padesát rublů; tedy po přepočtu asi osmnáct korun!

Klepněte pro větší obrázek
Úniky hesel neslouží pouze k pokusu o průnik do jednotlivých uživatelských účtů, ale i pro generování obřích slovníků, které pak lze použít třeba k prolamování hesel Wi-Fi sítí, zašifrovaných souborů aj. Díky únikům hesel například víme, že dlouhodobě patří k populárním heslům číselné řady 1-9, proto figurují v podobných slovnících hned na začátku.  

Etický kodex Hold Security zakazuje nákup kradených dat, a tak ruského klučinu přemlouvali tak dlouho, dokud nekývl a data jim nedal zdarma s tím, že napíšou v kyberscéně nějaký ten pochvalný komentář. To není moc příjemné zjištění. Dokud hacker požaduje peníze, úniky se nedostanou k širšímu publiku. Pokud mu ale stačí zvýšení karmy nebo prostě veřejná pochvala od respektovaných specialistů, znamená to, že se ke kradeným datům dostane prakticky kdokoliv.

Když se ovšem analytici pustili do ověřování získaných dat, zjistili, že se v drtivé většině případů jedná opravdu jen o staré úniky, které tu již byly – třeba právě zmíněný útok na Adobe a Sony, které se v různých podobách šíří internetem dodnes.

A tak v Hold Security tlačili na mladého hackera dál, až jim po několikadenní poštovní komunikaci skutečně odhalil svůj poklad v podobě obřího balíku 1,17 miliard loginů (e-mailů) a hesel.  Soubor byl sice opět plný duplikátů, takže se ve skutečnosti jednalo pouze o 272 milionů unikátních párů, ovšem 42,5 milionů z nich se na scéně objevily úplně poprvé, aniž by to byl starší kompilát.

Dohromady čtvrtmiliardový balík čítal mimo jiné:

  • 57 milionů adres z Mail.ru
  • 40 milionů adres z Yahoo
  • 33 milionů adres z Hotmailu (Outlook.com)
  • 24 milionů adres z Gmailu

Jak už jsem ale nastínil výše, rozhodně to neznamená, že tato data získal útočník díky nějaké neznámé slabině přímo v těchto službách. To by byla opravdu senzace, protože úspěšný a takto masivní útok třeba právě na Gmail tu ještě nebyl. Spíše jde tedy pouze o krádeže chabě zabezpečených databází někoho dalšího, kde používáme tyto e-mailové adresy.

Stále ta stejná písnička: stejná hesla napříč službami

Co je však horší, podle Hold Security ohromné množství obětí nadále používá stejné kombinace hesla napříč službami, čili ačkoliv se mohlo jednat o únik hesla z nějakého malého a chabě zabezpečeného webu, stejné heslo by fungovalo i při pokusu o přihlášení na skutečný Gmail.

Klepněte pro větší obrázek
Dvoufázové přihlašování je lék na všechny podobné úniky, k úspěšnému přihlášení totiž nestačí pouze login a heslo, ale zpravidla potřebujete i ověřovací kód, který dorazí třeba ve formě SMS na telefon

Pokud bychom sečetli všechny velké úniky přihlašovacích informací v několika posledních letech, získáme balík několika miliard schránek. Svým způsobem lze tedy konstatovat, že je velmi pravděpodobné, že kdesi po síti poletuje i pár e-mail/heslo mnoha z nás.

O to důležitější je používat napříč službami různá hesla a u těch, které to umějí, také dvoufázové přihlašování.  A jelikož je to i případ Googlu nebo Microsoftu, surfaři, kteří toto bezpečnější přihlašování používají, mohou zůstat v případě krádeže hesla v klidu, protože útočníkovi samo o sobě nebude stačit – musel by získat i váš telefon.

Témata článku: Web, Bezpečnost, Hacking, Rusko, Hold, Ashley Madison, Mail.ru, Madison

10 komentářů

Nejnovější komentáře

  • Python.P 7. 5. 2016 0:40:58
    To je fakt nutný na českém portálu, používat cizí slova ? Asi to pak...
  • Net.Xtreme 6. 5. 2016 14:19:15
    By mě zajímalo, kde se dají tyhle databáze stáhnout, docela rád bych...
  • 5h1nj1 6. 5. 2016 11:21:38
    Kdybych u kazde ptakoviny pouzival dvoufazove overovani, tak nedelam nic...
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 99

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

** Novinka od Asusu míří přímo proti MacBooku od Applu ** Nabídne daleko více výkonu za stejné peníze

2.  12.  2016 | David Polesný | 140

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

Včera | Jakub Čížek | 32


reklama