Ruský mladík prodával miliardu ukradených hesel za 18 korun

  • Ruský mladík nabízel miliardu hesel za 50 rublů
  • Nakonec je dal analytikům zadarmo
  • Na seznamu byly i miliony hesel do Gmailu, Outlooku aj.
Ruský mladík prodával miliardu ukradených hesel za 18 korun

Úniky obrovských databází s uživatelskými účty všemožných webových služeb nejsou ničím novým a nevyhýbají se ani podobným velikánům jako Sony nebo třeba Adobe. Asi bychom dnes tedy jen těžko hledali zkušenějšího surfaře, který si na základě podobných průlomů do nitra webů nezměnil z bezpečnostních důvodů přístupové heslo. Některé postižené služby k tomu ostatně v minulosti samy vybízely nebo obětem rovnou resetovaly heslo.

Jelikož se poslední roky jako přihlašovací jméno ve velké míře používá e-mailová adresa, ze které se stal jakýsi nepsaný identifikační standard, při každém takovém leaku se přirozeně leckdo zděsí toho, že se hackerům podařilo prolomit třeba do Gmailu a Outlooku. Není se čemu divit, pokud totiž v milionech a milionech uniklých loginů figurují v ohromném množství právě jejich poštovní domény, na první pohled to opravdu vypadá, že se jedná o jejich zcizené databáze, ačkoliv je tomu zpravidla trošku jinak.

Klepněte pro větší obrázek
Když loni na web unikla uživatelská databáze ze seznamky Ashley Madison, každý si mohl dešifrovat hesla milionů záletníků, na které se služba specializovala

Miliarda ukradených hesel za 18 korun

Jisté pozdvižení aktuálně vzbudila i zpráva bezpečnostní společnosti Hold Security. Její analytiky zaujala nabídka jistého hackera na undergroundovém fóru, který nabízel k prodeji miliony e-mailových adres a hesel.

Z hackera se nakonec vyklubal mladík odkudsi z ruského maloměsta a z poskytnutých vzorků dat pouze staré úniky. Jinými slovy, hacker prostě posbíral stovky milionů starších krádeží, spojil je dohromady a nabízel v jednom obřím souboru za pakatel. A to doslova, účtoval si totiž směšných padesát rublů; tedy po přepočtu asi osmnáct korun!

Klepněte pro větší obrázek
Úniky hesel neslouží pouze k pokusu o průnik do jednotlivých uživatelských účtů, ale i pro generování obřích slovníků, které pak lze použít třeba k prolamování hesel Wi-Fi sítí, zašifrovaných souborů aj. Díky únikům hesel například víme, že dlouhodobě patří k populárním heslům číselné řady 1-9, proto figurují v podobných slovnících hned na začátku.  

Etický kodex Hold Security zakazuje nákup kradených dat, a tak ruského klučinu přemlouvali tak dlouho, dokud nekývl a data jim nedal zdarma s tím, že napíšou v kyberscéně nějaký ten pochvalný komentář. To není moc příjemné zjištění. Dokud hacker požaduje peníze, úniky se nedostanou k širšímu publiku. Pokud mu ale stačí zvýšení karmy nebo prostě veřejná pochvala od respektovaných specialistů, znamená to, že se ke kradeným datům dostane prakticky kdokoliv.

Když se ovšem analytici pustili do ověřování získaných dat, zjistili, že se v drtivé většině případů jedná opravdu jen o staré úniky, které tu již byly – třeba právě zmíněný útok na Adobe a Sony, které se v různých podobách šíří internetem dodnes.

A tak v Hold Security tlačili na mladého hackera dál, až jim po několikadenní poštovní komunikaci skutečně odhalil svůj poklad v podobě obřího balíku 1,17 miliard loginů (e-mailů) a hesel.  Soubor byl sice opět plný duplikátů, takže se ve skutečnosti jednalo pouze o 272 milionů unikátních párů, ovšem 42,5 milionů z nich se na scéně objevily úplně poprvé, aniž by to byl starší kompilát.

Dohromady čtvrtmiliardový balík čítal mimo jiné:

  • 57 milionů adres z Mail.ru
  • 40 milionů adres z Yahoo
  • 33 milionů adres z Hotmailu (Outlook.com)
  • 24 milionů adres z Gmailu

Jak už jsem ale nastínil výše, rozhodně to neznamená, že tato data získal útočník díky nějaké neznámé slabině přímo v těchto službách. To by byla opravdu senzace, protože úspěšný a takto masivní útok třeba právě na Gmail tu ještě nebyl. Spíše jde tedy pouze o krádeže chabě zabezpečených databází někoho dalšího, kde používáme tyto e-mailové adresy.

Stále ta stejná písnička: stejná hesla napříč službami

Co je však horší, podle Hold Security ohromné množství obětí nadále používá stejné kombinace hesla napříč službami, čili ačkoliv se mohlo jednat o únik hesla z nějakého malého a chabě zabezpečeného webu, stejné heslo by fungovalo i při pokusu o přihlášení na skutečný Gmail.

Klepněte pro větší obrázek
Dvoufázové přihlašování je lék na všechny podobné úniky, k úspěšnému přihlášení totiž nestačí pouze login a heslo, ale zpravidla potřebujete i ověřovací kód, který dorazí třeba ve formě SMS na telefon

Pokud bychom sečetli všechny velké úniky přihlašovacích informací v několika posledních letech, získáme balík několika miliard schránek. Svým způsobem lze tedy konstatovat, že je velmi pravděpodobné, že kdesi po síti poletuje i pár e-mail/heslo mnoha z nás.

O to důležitější je používat napříč službami různá hesla a u těch, které to umějí, také dvoufázové přihlašování.  A jelikož je to i případ Googlu nebo Microsoftu, surfaři, kteří toto bezpečnější přihlašování používají, mohou zůstat v případě krádeže hesla v klidu, protože útočníkovi samo o sobě nebude stačit – musel by získat i váš telefon.

Témata článku: Web, Bezpečnost, Hacking, Rusko, Stejné heslo, Mail.ru, Madison, Hold, Ověřovací kód, Obrovské množství, Přístupové heslo, Příjemné zjištění, Přihlašování, Únik, Zašifrovaný soubor, Bezpečnostní důvody, Rus, Přihlašovací jméno, Ashley Madison, Karma, E-mailová adresa, Obří balík, Miliarda korun

Určitě si přečtěte

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

Velká podzimní aktualizace Windows 10 je tady: Co přináší Fall Creators Update

** Po půl roce je tu další aktualizace Windows ** A opět přináší hlavně hromadu drobných kosmetických vylepšení ** Podívali jsme se na ty nejzajímavější

17.  10.  2017 | Jakub Čížek | 185

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

Budoucností Windows 10 je Fluent Design. Takto bude jednou vypadat celý systém

** Fluent Design je vzhled, do kterého postupně Microsoft převleče celý systém ** Staví na průhlednosti a velkých plochách ** Do Windows 10 se z části dostane už zítra při vydání podzimní aktualizace

16.  10.  2017 | Stanislav Janů | 155

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

19.  10.  2017 | David Polesný | 17

Nejlepší optické iluze: Z toho vám půjde hlava kolem

Nejlepší optické iluze: Z toho vám půjde hlava kolem

** Mozek se nechá snadno ošálit, a to mnoha způsoby ** Podívejte se na několik nejlepších optických iluzí ** Iluze dokazují, že vnímání reality může být značně zkreslené

16.  10.  2017 | Vojtěch Malý


Aktuální číslo časopisu Computer

Nový seriál o programování elektroniky

Otestovali jsme 17 bezdrátových sluchátek

Jak na nákup vánočních dárků ze zahraničí

4 tankové tiskárny v přímém souboji