Több mint 773 millió felhasználó emailcímét és jelszavát tették ki az internetre
Legalább 773 millió különböző emailcím és az azokhoz tartozó jelszavak kerültek ki az internetre a napokban egy Collection #1 (1-es gyűjtemény) nevű fájlban. A kiszivárgott adatok nem egyetlen támadáshoz köthetők: egyrészt rengeteg kisebb-nagyobb weboldal fiókjaiból származnak, köztük olyan magyar weboldalakról is, mint a Kutatók Éjszakája weblapja, másrészt a gyűjteményben sok régebbi, köztük 4 vagy akár 11 éves adat is szerepel.
A támadók az ilyen listákat az úgynevezett „credential stuffing” (azonosítótömés) nevű módszerhez használják, amelynek lényege, hogy automatikus eszközökkel kipróbálgatják a már ismert email-jelszó-párosokat más szolgáltatásokban, arra számítva, hogy a userek sok jelszót több lapon is újrahasználnak. Ha például egy felhasználó ugyanazt a jelszót használta egy feltört fórumon, mint a Spotifyon, a támadók könnyen hozzáférhetnek a megfelelő Spotify-fiókhoz.
Nem nehéz védekezni ellene
A haveibeenpwned.com-on bárki ellenőrizheti, hogy ebben (vagy egy korábbi) támadásban kikerültek-e az adatai, és regisztrálhat a már létező 2,2 millió felhasználó közé, akik automatikus értesítőt is kapnak újabb adatszivárgások esetén.
Az ilyen esetek elkerülésére érdemes olyan jelszókezelő alkalmazásokat használni, mint a fizetős, de ingyenesen kipróbálható 1Password, vagy az ingyenes (és magyar) LastPass. Ezek a programok megjegyzik és biztonságosan tárolják a jelszavakat, és automatikusan ki is töltik a jelszómezőket laptopon és telefonon is.
Egy másik fontos eszköz a kétlépcsős bejelentkezés használata, amit a nagyobb szájtok közül a Google és a Facebook is alkalmaz (egy útmutatókkal ellátott bővebb lista elérhető itt). A 1Password az ezekhez tartozó egyszer használatos kódokat is képes eltárolni.
A létező jelszavak biztonságos volta is ellenőrizhető például ezen a több mint félmilliárd jelszót tartalmazó listán. Sokat elárul, hogy a “P@ssword” jelszó (ami a legtöbb jelszókövetelménynek megfelel, hiszen nagybetűt és speciális karaktert is tartalmaz) több mint 50 000-szer szerepelt már kiszivárgott listákon, úgyhogy semmiképpen nem érdemes olyan jelszót választani, ami akár csak egyszer is szerepel ezen a listán.
A szerző a Palantir Technologies munkatársa. Véleménye nem tükrözi a cég álláspontját. További Qubiten megjelent cikkei itt olvashatók.