Ruský mladík prodával miliardu ukradených hesel za 18 korun

  • Ruský mladík nabízel miliardu hesel za 50 rublů
  • Nakonec je dal analytikům zadarmo
  • Na seznamu byly i miliony hesel do Gmailu, Outlooku aj.

Úniky obrovských databází s uživatelskými účty všemožných webových služeb nejsou ničím novým a nevyhýbají se ani podobným velikánům jako Sony nebo třeba Adobe. Asi bychom dnes tedy jen těžko hledali zkušenějšího surfaře, který si na základě podobných průlomů do nitra webů nezměnil z bezpečnostních důvodů přístupové heslo. Některé postižené služby k tomu ostatně v minulosti samy vybízely nebo obětem rovnou resetovaly heslo.

Jelikož se poslední roky jako přihlašovací jméno ve velké míře používá e-mailová adresa, ze které se stal jakýsi nepsaný identifikační standard, při každém takovém leaku se přirozeně leckdo zděsí toho, že se hackerům podařilo prolomit třeba do Gmailu a Outlooku. Není se čemu divit, pokud totiž v milionech a milionech uniklých loginů figurují v ohromném množství právě jejich poštovní domény, na první pohled to opravdu vypadá, že se jedná o jejich zcizené databáze, ačkoliv je tomu zpravidla trošku jinak.

Klepněte pro větší obrázek
Když loni na web unikla uživatelská databáze ze seznamky Ashley Madison, každý si mohl dešifrovat hesla milionů záletníků, na které se služba specializovala

Miliarda ukradených hesel za 18 korun

Jisté pozdvižení aktuálně vzbudila i zpráva bezpečnostní společnosti Hold Security. Její analytiky zaujala nabídka jistého hackera na undergroundovém fóru, který nabízel k prodeji miliony e-mailových adres a hesel.

Z hackera se nakonec vyklubal mladík odkudsi z ruského maloměsta a z poskytnutých vzorků dat pouze staré úniky. Jinými slovy, hacker prostě posbíral stovky milionů starších krádeží, spojil je dohromady a nabízel v jednom obřím souboru za pakatel. A to doslova, účtoval si totiž směšných padesát rublů; tedy po přepočtu asi osmnáct korun!

Klepněte pro větší obrázek
Úniky hesel neslouží pouze k pokusu o průnik do jednotlivých uživatelských účtů, ale i pro generování obřích slovníků, které pak lze použít třeba k prolamování hesel Wi-Fi sítí, zašifrovaných souborů aj. Díky únikům hesel například víme, že dlouhodobě patří k populárním heslům číselné řady 1-9, proto figurují v podobných slovnících hned na začátku.  

Etický kodex Hold Security zakazuje nákup kradených dat, a tak ruského klučinu přemlouvali tak dlouho, dokud nekývl a data jim nedal zdarma s tím, že napíšou v kyberscéně nějaký ten pochvalný komentář. To není moc příjemné zjištění. Dokud hacker požaduje peníze, úniky se nedostanou k širšímu publiku. Pokud mu ale stačí zvýšení karmy nebo prostě veřejná pochvala od respektovaných specialistů, znamená to, že se ke kradeným datům dostane prakticky kdokoliv.

Když se ovšem analytici pustili do ověřování získaných dat, zjistili, že se v drtivé většině případů jedná opravdu jen o staré úniky, které tu již byly – třeba právě zmíněný útok na Adobe a Sony, které se v různých podobách šíří internetem dodnes.

A tak v Hold Security tlačili na mladého hackera dál, až jim po několikadenní poštovní komunikaci skutečně odhalil svůj poklad v podobě obřího balíku 1,17 miliard loginů (e-mailů) a hesel.  Soubor byl sice opět plný duplikátů, takže se ve skutečnosti jednalo pouze o 272 milionů unikátních párů, ovšem 42,5 milionů z nich se na scéně objevily úplně poprvé, aniž by to byl starší kompilát.

Dohromady čtvrtmiliardový balík čítal mimo jiné:

  • 57 milionů adres z Mail.ru
  • 40 milionů adres z Yahoo
  • 33 milionů adres z Hotmailu (Outlook.com)
  • 24 milionů adres z Gmailu

Jak už jsem ale nastínil výše, rozhodně to neznamená, že tato data získal útočník díky nějaké neznámé slabině přímo v těchto službách. To by byla opravdu senzace, protože úspěšný a takto masivní útok třeba právě na Gmail tu ještě nebyl. Spíše jde tedy pouze o krádeže chabě zabezpečených databází někoho dalšího, kde používáme tyto e-mailové adresy.

Stále ta stejná písnička: stejná hesla napříč službami

Co je však horší, podle Hold Security ohromné množství obětí nadále používá stejné kombinace hesla napříč službami, čili ačkoliv se mohlo jednat o únik hesla z nějakého malého a chabě zabezpečeného webu, stejné heslo by fungovalo i při pokusu o přihlášení na skutečný Gmail.

Klepněte pro větší obrázek
Dvoufázové přihlašování je lék na všechny podobné úniky, k úspěšnému přihlášení totiž nestačí pouze login a heslo, ale zpravidla potřebujete i ověřovací kód, který dorazí třeba ve formě SMS na telefon

Pokud bychom sečetli všechny velké úniky přihlašovacích informací v několika posledních letech, získáme balík několika miliard schránek. Svým způsobem lze tedy konstatovat, že je velmi pravděpodobné, že kdesi po síti poletuje i pár e-mail/heslo mnoha z nás.

O to důležitější je používat napříč službami různá hesla a u těch, které to umějí, také dvoufázové přihlašování.  A jelikož je to i případ Googlu nebo Microsoftu, surfaři, kteří toto bezpečnější přihlašování používají, mohou zůstat v případě krádeže hesla v klidu, protože útočníkovi samo o sobě nebude stačit – musel by získat i váš telefon.

Témata článku: Web, Bezpečnost, Hacking, Rusko, Hold, Mail.ru, Ashley Madison, Madison, Karma

10 komentářů

Nejnovější komentáře

  • Python.P 7. 5. 2016 0:40:58
    To je fakt nutný na českém portálu, používat cizí slova ? Asi to pak...
  • Net.Xtreme 6. 5. 2016 14:19:15
    By mě zajímalo, kde se dají tyhle databáze stáhnout, docela rád bych...
  • 5h1nj1 6. 5. 2016 11:21:38
    Kdybych u kazde ptakoviny pouzival dvoufazove overovani, tak nedelam nic...
Určitě si přečtěte

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

** Pokud už choulostivé snímky vyfotíte, dbejte na jejich zabezpečení ** Útočníci je nejčastěji získají z cloudového úložiště ** Pozor si dejte i na phishing a řádné zabezpečení telefonu

25.  3.  2017 | Stanislav Janů | 55

Aktualizační nástroj Microsoftu nabízí přechod na Creators Update. Funguje to! [Aktualizováno: už ne]

Aktualizační nástroj Microsoftu nabízí přechod na Creators Update. Funguje to! [Aktualizováno: už ne]

** Aktualizace Creators Update pro Windows 10 ještě nebyla oficiálně uvolněna ** Už ale existuje způsob, jak jí ze serverů Microsoftu dostat ** Úspěšně jsme to vyzkoušeli

28.  3.  2017 | Jakub Čížek | 68

Facebook chce odříznout Google od hlavního zdroje příjmů

Facebook chce odříznout Google od hlavního zdroje příjmů

** Facebook otevřel vlastní reklamní síť dalším hráčům ** Snaží se prosadit efektivnější spojení mezi vydavatelem a inzerentem ** Weby mohou dosáhnout zvýšení příjmů z reklamy až o 30 %

27.  3.  2017 | Karel Javůrek | 12


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Inteligentní domy