S únikmi citlivých informácií máme skúsenosť pomerne často. Vo väčšine prípadov však ide o únik dát menšieho charakteru, pri ktorých sa odcudzia prihlasovacie údaje rádovo niekoľko stoviek či tisícov účtov. Únik, ktorý bol však odhalený dnes, tento rozmer niekoľkotisícnásobne prevyšuje. Tím bezpečnostných analytikov a výskumníkov totižto zistil, že internetom kolujú prihlasovacie údaje k viac ako 272 miliónom e-mailových účtov. Toto neuveriteľné číslo v sebe zahŕňa napríklad populárneho poskytovateľa v Rusku, portál Mail.ru, účty ale patria aj službám ako Gmail, Yahoo či Microsoft. Celkový počet účtov, ktoré mali byť odcudzené v službe Gmail, má byť pritom až 24 miliónov. Ruskej službe Mail.ru malo uniknúť 57 miliónov účtov, spoločnosti Yahoo 40 miliónov a Hotmailu 33 miliónov prihlasovacích údajov.
Zarážajúce v tomto prípade je aj zistenie, že únik má na svedomí mladý ruský hacker, ktorý informácie o účtoch predával na fóre len za 50 rubľov, čo je v prepočte približne 1 dolár. Zlé meno si v tomto prípade však spravili práve služby Gmail a Yahoo, ktoré o úniku dát neinformovali. Je síce pravdou, že väčší poskytovatelia majú účty svojich užívateľov často zabezpečené, napríklad dvoj-faktorovým prihlasovaním, alebo notifikáciou o prihlásení z neznámeho zariadenia, nie všetci ich však majú aktivované. Veľa používateľov tiež používa rovnaké heslo k viacerým službám, čím v podstate dávajú hackerom prístup nielen k svojmu e-mailovému účtu, ale aj k ďalším webom.
Ako sa proti podobným únikom chrániť? Najlepšie tým, že vo webových službách začnete používať rozdielne heslá, ktoré by ste ale určite nemali vyberať z tohto zoznamu. Je tiež vhodné, aby ste si aktivovali dvoj-faktorovú autentifikáciu (ak to služba podporuje), či záložný e-mail a prepojili svoje konto s vašim telefónnym číslom. Ak už k úniku dôjde, odporúča sa, aby ste zmenili svoje heslá a použili úplne nové, ktoré môžete vytvoriť napríklad aj na základe týchto rád.
Zdroj: Reuters via Androidauthority
Ten tým analytiků a výzkumníků by mohl sestavit databázi kompromitovaných emailových účtů aby si každý mohl ověřit, jestli tam je adresa, která ho zajímá (pokud db existuje, mohl být v článku odkaz).
BTW. Minulý týden jsem zjistil, že se mi někdo z ruska pár dní přihlašoval k účtu na yandex.ru, se kterým jsem se občas registroval do nějakých nepodstatných diskusí; heslo jsem měl ve slovnících asi neobvyklé (klidně ho prozradím, jinde ho nemám a teď už ani na yandexu: Yy0x3Rt6c@xX). Na yandexu (a následně na mail.ru, byť postižen nebyl) jsem okamžitě zapnul dvoufázovou autentikaci (sice pozdě, ale lepší než nikdy). Akorát pokládám za opruz, že na to mají vlastní aplikaci a nejde použít Google authenticator (no MS s live.com je na tom podobně), jako třeba v případě Facebooku nebo správy wordpressu, kde to používám denně.
pri dvojkrokovej autentifikacii nam to moze byt jedno….
https://www.mojandroid.sk/2-stupnova-autentifikacia-gmail-navod/ ;-)
promptny hint ondrej. :)
niesom nejaky guru v sekurite tak mi to pls vysvetlite. Nie su nahodou tieto hesla vzdy zasifrovane nejakou SHA a pri odcudzeni vidia iba zasifrovanu verziu hesla ? A ked ma clovek dost dlhe heslo tak odsifrovanie takeho je pomerne zlozite ci ?
Hesla sa šifrovane iba prenášajú, v databáze sú uložené ako plain text, samozrejme pod istou vrstvou zabezpečenia. Na internet však práve unikla tá databáza, kde heslá nie sú šifrované :-)
Somarina. Hesla su sice ulozene ako plain text, ale su zakodovane.
Google už minulý rok alebo dokonca 2 roky dozadu spomínal že prechádza na 128 bitové šifrovanie hesiel priamo v databáze. Takže tie hesla určite nie sú plain text a odkodovat bežným počítačom 128 bitové kódovanie Hmm tak pol dňa minimálne
Kedysi boli tie hesla ulozene v subore /etc/passwd, ktory mohol vidiet kazdy. Teraz sa ukladaju do suboru /etc/shadow, ktory vidi len root.
Stale je vsak moznost zobrat hesla zo slovnika hesiel, zakodovat ich rovnakou metodou, a hladat v tom subore, ci nedostanem rovnake zakodovane heslo. Ak ano, mam povodne heslo.
Dalsia moznost bola vyuzit chybu typu Heartbleed alebo x dalsich chyb.
to som chcel vedet ze ak maju dostatocne silne heslo v heši tak nech ho tak kludne maju :D
Preto sa heslá ešte saltujú aby sa nemohli nájsť v slovníku hesiel. Pozri: en.wikipedia.org/wiki/Salt_(cryptography)
Ano, len problem je, ze niekde sa salt musi ukladat. Dalej, salt sa generuje pseudonahodne a nie nahodne. Ak niekto zisti sposob generovania tak si to moze generovat. A nakoniec, proti chybam typu Heartbleed to aj tak nepomoze.
Dostatocne silne heslo je nutnost a aj tak ho treba obcas menit.
To su hesla pre systemove ucty. Ziaden mail-server ich nikdy neukladal do /etc/passwd ani do /etc/shadow. A vobec nie do ziadneho textoveho suboru. Ono by to akosi z vykonnostneho hladiska ani nebolo mozne…
ROTFL, pan je ako vidim odbornik! :-D
Na strane servera sa vždy ukladá len hash, ktorý sa potom porovnáva so zahashovaným heslom prijatým od používateľa. Heslá sú na serveri vždy zašifrované! Ten, kto to nerobí a ukladá ich bez zmeny, je totálny idiot a koleduje si o problémy.
Vďaka za vysvetlenie, nemal som v tom celkom jasno :)
Ako tu už bolo napísané, heslá sú na servery vždy zašifrované, pričom sa ešte dodatočne “saltujú”, kvôli bezpečnosti. Skôr si myslím, že tieto heslá boli odchytené pri prihlasovaní sa užívateľov do ich mailov.
To, ze by sa hesla mali po spravnosti saltovat, hashovat, cryptovat alebo cokolvek je pekne, ale urcite to neznamena, ze to webstranky aj naozaj robia.