Internete aptiktas vienas didžiausių iki šiol žinomų pavogtų prisijungimo duomenų rinkinių. Saugumo tyrėjai rado neapsaugotą duomenų bazę, kurioje buvo maždaug 24 milijardai įrašų – vartotojų vardai, el. pašto adresai, slaptažodžiai ir prisijungimo nuorodos. Blogiausia tai, kad dalis slaptažodžių buvo pateikti atviru tekstu, todėl juos galima bandyti naudoti iš karto.
Tai nėra vienos įmonės ar vienos paslaugos įsilaužimas. Panašu, kad duomenų bazė buvo sudaryta iš daugybės skirtingų šaltinių – senesnių nutekėjimų, pavogtų prisijungimų, „Telegram“ kanalų ir vadinamųjų informacijos vagysčių žurnalų. Paprastam žmogui tai reiškia viena: net jei jūs patys niekada nespaudėte įtartinos nuorodos, jūsų senas slaptažodis vis tiek galėjo atsidurti tokiose kolekcijose.
Kas iš tikrųjų buvo rasta?
Pasak saugumo tyrėjų, duomenų bazė buvo laikoma „Elasticsearch“ serveryje, kuris neturėjo tinkamos apsaugos – nebuvo slaptažodžio, autentifikavimo ir prieigos apribojimų. Kitaip tariant, žmogus, turintis tinkamą adresą, galėjo pasiekti duomenis tiesiai iš naršyklės. Vėliau ši bazė buvo pašalinta iš atviro interneto, tačiau lieka neaišku, kas ją spėjo atsisiųsti, kol ji buvo prieinama.
Tyrėjų duomenimis, rinkinį sudarė ne vienas nutekėjimas, o 36 skirtingų šaltinių medžiaga. Dalis įrašų siejama su informacijos vagystės programomis, kurios užkrečia kompiuterius ir iš naršyklių pavagia išsaugotus slaptažodžius, slapukus, automatinio pildymo duomenis ir kitą jautrią informaciją. Tokie duomenys vėliau pardavinėjami, maišomi su senais nutekėjimais ir naudojami atakoms prieš paskyras.
Kodėl tai pavojinga net tiems, kurie naudoja dviejų veiksnių apsaugą?
Daugelis žmonių galvoja, kad jei paskyroje įjungtas dviejų veiksnių autentifikavimas, jie visiškai saugūs. Tai tikrai labai svarbi apsauga, bet ji nėra stebuklinga. Tokiuose rinkiniuose gali būti ne tik slaptažodžiai, bet ir sesijos slapukai, kurie kai kuriais atvejais gali padėti apeiti papildomą prisijungimo patvirtinimą.
Be to, nutekinti slaptažodžiai dažnai naudojami vadinamosioms credential stuffing atakoms. Tai reiškia, kad nusikaltėliai ima pavogtą el. pašto ir slaptažodžio porą ir automatiškai bando ją kitose svetainėse. Jei žmogus tą patį slaptažodį naudojo el. pašte, socialiniuose tinkluose, parduotuvėse ar kitose paslaugose, vienas nutekėjimas gali atverti kelią į kelias paskyras.
Kaip patikrinti, ar jūsų el. paštas buvo nutekėjimuose?
Paprasčiausias būdas – naudoti „Have I Been Pwned“ svetainę. Tai žinoma paslauga, kuri leidžia įvesti el. pašto adresą ir patikrinti, ar jis aptiktas žinomuose duomenų nutekėjimuose. Svetainė indeksuoja daugiau nei tūkstančio pažeistų paslaugų duomenis ir rodo, kur jūsų adresas galėjo būti paviešintas.
Veiksmai labai paprasti: atsidarykite „Have I Been Pwned“, įveskite savo el. pašto adresą ir paspauskite tikrinimo mygtuką. Jei rezultatas rodo, kad adresas aptiktas nutekėjimuose, peržiūrėkite, kokios paslaugos minimos, ir pirmiausia keiskite slaptažodžius ten. Jei puslapis rodo, kad nutekėjimų nerasta, tai gera žinia, bet tai dar nereiškia, kad galite visiškai atsipalaiduoti – naujausi duomenų rinkiniai ne visada iš karto patenka į tikrinimo sistemas.
Pirmiausia apsaugokite el. paštą
Jei reikėtų pasirinkti vieną paskyrą, kurią būtina apsaugoti pirmiausia, tai būtų el. paštas. Priežastis paprasta: el. paštas dažnai yra raktas į visas kitas paskyras. Per jį atkuriami slaptažodžiai, gaunami prisijungimo kodai, sąskaitos, bankų pranešimai, dokumentai ir kiti jautrūs duomenys.
Todėl pirmas realus veiksmas – pakeisti el. pašto slaptažodį į unikalų ir stiprų. Jis neturi kartotis jokioje kitoje svetainėje. Jei tą patį slaptažodį naudojote dar kur nors, laikykite jį nesaugiu ir keiskite visur. Ypač svarbu patikrinti banko, mokėjimo paslaugų, socialinių tinklų, prekybos platformų ir debesijos paskyras.
Nenaudokite to paties slaptažodžio keliose vietose
Didžiausia klaida, kurią vis dar daro daugybė žmonių, yra tas pats slaptažodis skirtingose svetainėse. Tai patogu, bet labai pavojinga. Jei viena paslauga nulaužiama, tas pats slaptažodis gali būti išbandytas dešimtyse kitų vietų. Būtent taip vienas mažas nutekėjimas gali virsti grandinine problema.
Geriausias sprendimas – slaptažodžių tvarkyklė. Ji leidžia kiekvienai paskyrai turėti skirtingą, ilgą ir sudėtingą slaptažodį, kurio nereikia mokytis mintinai. Vienas slaptažodis vienai paslaugai – tai taisyklė, kuri realiai sumažina žalą, jei jūsų duomenys kada nors nutekėtų.
Įjunkite dviejų veiksnių autentifikavimą
Kitas būtinas žingsnis – dviejų veiksnių autentifikavimas. Tai reiškia, kad prisijungimui nepakanka vien slaptažodžio. Reikia papildomo patvirtinimo – programėlės kodo, saugos rakto, pranešimo telefone ar kito metodo. Net jei nusikaltėlis sužino jūsų slaptažodį, jam vis tiek sunkiau patekti į paskyrą.
Geriausia naudoti autentifikavimo programėlę arba fizinį saugos raktą, jei paslauga tai leidžia. SMS kodai yra geriau nei nieko, bet jie nėra patys saugiausi. Dviejų veiksnių apsauga ypač svarbi el. paštui, bankinėms ir mokėjimo paskyroms, socialiniams tinklams bei debesijos saugykloms.
Patikrinkite, ar įrenginys neužkrėstas
Kadangi dalis tokių duomenų rinkinių dažnai atsiranda iš informacijos vagysčių programų, verta pagalvoti ne tik apie slaptažodžius, bet ir apie patį įrenginį. Jei kompiuteryje buvo kenkėjiška programa, slaptažodžių pakeitimas nepadės ilgam – nauji prisijungimai gali būti pavogti dar kartą.
Todėl verta atnaujinti operacinę sistemą, naršyklę ir antivirusinę apsaugą, atlikti pilną įrenginio patikrą ir pašalinti įtartinas programas ar plėtinius. Jei naršyklėje ilgai saugojote slaptažodžius ir įtariate, kad įrenginys galėjo būti užkrėstas, pirmiausia išvalykite įrenginį, o tik tada keiskite slaptažodžius.
Ką daryti dabar, jei neturite laiko visko tvarkyti?
Jei neturite laiko peržiūrėti visų paskyrų, pradėkite nuo svarbiausių. Pirmas – el. paštas. Antras – bankai ir mokėjimo paslaugos. Trečias – socialiniai tinklai ir paskyros, per kurias galite prarasti reputaciją ar prieigą prie kitų paslaugų. Ketvirtas – internetinės parduotuvės, kuriose išsaugotos kortelės ar adresai.
Tada palaipsniui pereikite prie kitų paskyrų. Svarbiausia nedaryti vienos klaidos: nekeiskite visur to paties seno slaptažodžio į vieną naują bendrą slaptažodį. Jei po tokio nutekėjimo visur susikursite vieną naują slaptažodį, problema tiesiog persikels į ateitį.
Kodėl net „žalias“ rezultatas dar nereiškia visiško saugumo?
Jei patikrinimo svetainė rodo, kad jūsų el. paštas nerastas nutekėjimuose, tai gera žinia. Tačiau tai nereiškia, kad jūsų duomenų tikrai nėra jokiuose naujuose ar privačiuose rinkiniuose. Ne visi nutekėjimai iš karto tampa viešai indeksuojami, o kai kurie duomenys cirkuliuoja uždarose grupėse ir nusikaltėlių forumuose.
Todėl protingiausia elgtis taip, tarsi bet kuris senas, daug kur naudotas slaptažodis jau būtų nesaugus. Jei slaptažodį naudojote keliose vietose arba nekeičiate jo daug metų, dabar yra tinkamas metas tai sutvarkyti, net jei tikrinimo rezultatas jūsų negąsdina.
Trumpas veiksmų planas
Pirmiausia patikrinkite savo el. pašto adresą žinomoje nutekėjimų tikrinimo paslaugoje. Tada pakeiskite el. pašto slaptažodį į unikalų, įjunkite dviejų veiksnių autentifikavimą ir pereikite prie bankinių, mokėjimo bei svarbiausių socialinių paskyrų. Jei naudojate tą patį slaptažodį keliose vietose, keiskite jį visur.
Po to verta įsidiegti slaptažodžių tvarkyklę, atnaujinti įrenginius, patikrinti naršyklės plėtinius ir atlikti kenkėjiškų programų patikrą. Didžiausia apsauga po tokio nutekėjimo yra ne panika, o tvarka: unikalūs slaptažodžiai, dviejų veiksnių apsauga ir švarūs įrenginiai.
Svarbiausia – nelaukti, kol kažkas nutiks
Tokie nutekėjimai pavojingi todėl, kad jų pasekmės gali pasirodyti ne iš karto. Šiandien duomenų bazė pašalinta, bet niekas negali garantuoti, kad jos nespėjo atsisiųsti kiti žmonės. Pavogti prisijungimai gali būti naudojami vėliau – po savaitės, mėnesio ar dar ilgiau.
Todėl geriausias laikas veikti yra dabar. Jei apsaugosite el. paštą, pakeisite pasikartojančius slaptažodžius ir įjungsite dviejų veiksnių autentifikavimą, net labai didelis duomenų nutekėjimas jums gali baigtis tik nemaloniu įspėjimu, o ne realiais nuostoliais.
