Wykradziono pół miliarda danych użytkowników Yahoo!
#gmail #bezpieczeństwo #włamanie #yahoo #google
Choć informacja o tym pojawiła się 22.09.2016, to sytuacja miała miejsce w okolicach 2014 roku, dlatego jeśli od tego czasu nie zmieniałeś hasła to jest to najwyższa pora.
Pierwsza poważne włamanie, które zostało potwierdzone przez Yahoo miało miejsce w 2012 roku i dotyczyło kradzieży około 200 milionów kont, dane zawierały łatwe do odkodowania hasła.
500 milionów kont wykradzione z Yahoo
Jak informuje BusinessWire najnowsze włamanie spowodowało wyciek danych około pół miliarda kont (co potwierdzili pracownicy Yahoo). W śród danych, które wyciekły znajdują się nazwiska, adres email, numery telefonów, daty urodzenia, zakodowane hasła (większość z wykorzystaniem bcrypt) oraz zaszyfrowane pytania i odkodowane odpowiedzi służące do przywrócenia utraconego hasła przez użytkownika.
Czy mojej maile są bezpieczne
To już kolejna tego typu akcja po wycieku danych z usług poczty e-mail. Duże wycieki danych zanotował Gmail, Hotmail, Yahoo czy mail.ru. Wydaje się, że z punktu widzenia bezpieczeństwa trzymanie firmowej lub ważnej korespondencji u tak dużych graczy może być po prostu niebezpieczne. Ze względu na zasięg i koncentrację użytkowników duże kontenery poczty są bardzo łakomym kąskiem dla włamywaczy.
Czy padłeś łupem włamywaczy?
Możesz także sprawdzić czy Twój login lub adres email padł łupem włamywaczy. Za pomocą serwisu haveibeenpwned.com, przeszukasz ogólnie dostępną bazę adresów email i loginów, które wyciekły podczas najgłośniejszych włamań.
Obecność loginu lub adresu email nie oznacza, że dane do Twojej skrzynki email zostały wykradzione - jest to tylko sygnał, iż mogły zostać podane do rejestracji konta w jednym z serwisów w którym posiadałeś lub nadal posiadasz kont.
Niestety na wskazanej liście na próżno szukać informacji o włamaniach dot. Gmail’a, Hotmail czy Yahoo, ponieważ w wielu przypadkach dane nie wyciekły oficjalnie do sieci. Zleceniodawcą w takim przypadku bardziej zależało na zawartości skrzynek oraz ustaleniu lub sprawdzeniu tożsamości użytkowników.
Dlaczego należy zmienić hasła w przypadku włamania na serwis w którym posiadałem konto
Odpowiedź jest prosta: Tęczowe tablice to zbiór haseł z przechowywanych w postaci sum kontrolnych. Sumy kontrolne w takich tablicach zostały wygenerowane na podstawie np. przechwyconych baz danych, które przechowywały hasła jawnym tekstem lub za pomocą zwykłych słowników (losowe ciągi tekstowe). Jeżeli np. posiadałeś hasło do serwisu w postaci password123456 to sumą kontrolną dla tego hasła może być np. cb28e00ef51374b841fb5c189b2b91c9
Od tej pory hasło password123456 jest już skompromitowane - wystarczy, że włamywacz dotrze do bazy danych, która przechowuje tylko sumy kontrolne. Szuka sum kontrolnych, które zna - jeśli znajdzie sumę cb28e00ef51374b841fb5c189b2b91c9, to wie że hasło do Twojego konta to password123456
Oczywiście istnieją metody aby uchronić hasła użytkowników przed takimi wyciekami (np. poprze tzw. solenie haseł), jednak nie wszystkie nawet duże serwisy stosują ten prosty zabieg.
Dlatego wyciek haseł jest bardzo niebezpieczny także dla innych użytkowników sieci. Ludzie są z natury leniwi i każdy z nas bardzo często wykorzystuje te same mechanizmy do zabezpieczenia swoich kont. Podczas „generowania” hasła do nowego serwisu często wykorzystujemy kombinację nazwa, dat czy popularnych fraz (np. haslo,volvo,czerwony itd) - w efekcie, wymyślone przez nas hasła są bardzo popularne i łatwe do odkodowania metodą siłową (tzw. Brute Force)
Najpopularniejsze hasła 2015 roku - ale z nas idioci
Serwis gizmodo.com opublikował listę najpopularniejszych haseł w 2015 na świecie wraz z ich zmianą w stosunku do roku 2014. Co o niej sądzicie :)
| Miejsce | Hasło | Zmiana |
|---|---|---|
| 1. | 123456 | - |
| 2. | password | - |
| 3. | 12345678 | +1 |
| 4. | qwerty | +1 |
| 5. | 12345 | +2 |
| 6. | 123456789 | - |
| 7. | football | -3 |
| 8. | 1234 | +1 |
| 9. | 1234567 | +2 |
| 10. | baseball | -2 |
| 11. | welcome | (nowe) |
| 12. | 1234567890 | (nowe) |
| 13. | abc123 | +1 |
| 14. | 111111 | +1 |
| 15. | 1qaz2wsx | (nowe) |
| 16. | dragon | -7 |
| 17. | master | +2 |
| 18. | monkey | -6 |
| 19. | letmein | -6 |
| 20. | login | (nowe) |
| 21. | princess | (nowe) |
| 22. | qwertyuiop | (nowe) |
| 23. | solo | (nowe) |
| 24. | passw0rd | (nowe) |
| 25. | starwars | (nowe) |
Najpopularniejsze hasła w polskim internecie
Polacy nie gęsi i swój ranking mają, Serwis Bankowości Spółdzielczej opublikował popularność wykorzystywanych haseł, które wyciekły po ataku na jeden z serwerów Gazety wyborczej:
| Liczba wystąpień | Hasło |
|---|---|
| 388 | 123456 |
| 197 | qwerty |
| 141 | 12345 |
| 98 | polska |
| 77 | zaq12wsx |
| 66 | 456 |
| 55 | 111111 |
| 54 | dupa |
| 46 | aaaaaa |
| 43 | podrywacze |
| 36 | 123123 |
| 36 | legia |
| 35 | qwerty1 |
| 34 | marcin |
| 34 | 1234 |
| 33 | qazwsx |
| 33 | mateusz |
| 33 | 123qwe |
| 32 | maciek |
| 32 | michal |
| 31 | widzew |
| 31 | matrix |
| 31 | haslo |
| 30 | master |
| 30 | misiek |
| 29 | polska1 |
| 29 | zxcvbnm |
| 27 | samsung |
| 27 | damian |
| 26 | 123456789 |
| 25 | piotrek |
| 25 | marcin1 |
| 25 | monika |
| 24 | lukasz |
| 24 | qwe123 |
| 23 | abc123 |
| 23 | qwert |
| 23 | haslo1 |
| 22 | zaqwsx |
| 22 | kurwa |
Jak widać bezpieczeństwa nie gwarantuje duży dostawca, może działać nawet odwrotnie, jeśli jednak nie zadbasz o siłę hasła, w przypadku wycieku danych - możesz tłumaczyć się przed szefem, że skoro do Yahoo się włamali to co Ty możesz :)