Internete aptiktas milžiniškas nutekintų vartotojų vardų ir slaptažodžių archyvas gali turėti rimtų padarinių milijonams žmonių visame pasaulyje. Nutekinta duomenų bazė apima prisijungimo duomenis prie populiariausių paslaugų, tarp jų „Apple ID“, „iCloud“, „Gmail“, „Facebook“, „Microsoft“ ir daugelio kitų.
Kibernetinio saugumo tyrėjas Bobas Fowleris aptiko neapsaugotą „Elasticsearch“ serverį, kuris talpino daugiau nei 184 mln. vartotojų paskyrų prisijungimo duomenų. Visi duomenys buvo viešai prieinami, be slaptažodžio ar šifravimo. Duomenų nutekėjimas apėmė naudotojus iš bent 29 skirtingų šalių.
Kaip patvirtino žurnalas „Wired“, tarp nutekintų įrašų rasta „Apple“, „Google“, „Microsoft“, „Facebook“, „Snapchat“, „Discord“, „Roblox“ ir net valstybinės sveikatos tarnybos (NHS) paskyrų prisijungimų. Nors serveris dabar jau atjungtas, vis dar nežinoma, kas tiksliai rinko šiuos duomenis, kaip ilgai jie buvo pasiekiami viešai, ir ar kas nors dar galėjo juos atsisiųsti ar panaudoti.
Svarbu pabrėžti, kad tai nebuvo tiesioginis „Google“ ar „Apple“ serverių pažeidimas. Dauguma nutekintų duomenų, pasak ekspertų, buvo surinkti naudojant kenkėjiškas programas, vadinamas „InfoStealer“.
Šios programos renka vartotojų slaptažodžius, išsaugotus naršyklėse ar programėlėse – pavyzdžiui, kai paspaudžiate „Išsaugoti slaptažodį“ naršyklėje. Jeigu naudojate tą patį slaptažodį kelioms skirtingoms paskyroms, pavyzdžiui, ir „Facebook“, ir „iCloud“, ir interneto bankui, tuomet vienas nutekėjęs slaptažodis gali būti raktas į daugybę kitų jūsų paskyrų.
Tokius duomenis kibernetiniai nusikaltėliai dažnai panaudoja vadinamosioms „credential stuffing“ atakoms, kai automatiškai bandoma prisijungti prie daugybės paskyrų vienu metu.
Ką reikėtų daryti dabar?
Jei naudojate bet kurią iš minėtų paslaugų, tokių kaip „Google“, „Apple“, „Facebook“, „Microsoft“, tai puikus metas atnaujinti savo slaptažodžius. Ypač jei juos naudojote keliose paskyrose.
Rekomenduojama sukurti stiprius ir skirtingus slaptažodžius kiekvienai paskyrai ir juos valdyti naudojantis slaptažodžių tvarkykle.
Taip pat svarbu aktyvuoti dviejų veiksnių autentifikavimą (2FA). Ši apsauga – papildomas saugumo lygmuo, reiškia, kad vien tik žinoti jūsų slaptažodį nebeužtenka, norint įsilaužti į paskyrą.
Jei norite patikrinti, ar jūsų el. pašto adresas buvo nutekintas viešai, galite pasinaudoti tokiomis svetainėmis kaip „Have I Been Pwned“. Net jei ši konkreti duomenų bazė jūsų nepaveikė, budrumo neprarasite, stebėkite, ar negaunate įtartinų el. laiškų, ar niekas nebandė prisijungti prie jūsų paskyrų iš neįprastų vietų.
Saugumo taisyklės tampa vis aktualesnės
Šis nutekėjimas yra dar viena skaudi pamoka apie tai, kaip svarbu turėti gerus slaptažodžių valdymo įpročius. Nors daugeliui tai vis dar atrodo kaip smulkmena, slaptažodžių kartojimas – viena dažniausių saugumo spragų.
Net jei anksčiau pats pasirinkdavote patogumą, laikėte tą patį slaptažodį viskam, metas pergalvoti. Šiandien tai tapo realia rizika, o ne tik rekomendacija. Visapusiška skaitmeninė higiena dabar tokia pat būtina, kaip ir reguliarus rankų plovimas. Ir ne dėl įstatymų, o dėl savo pačių saugumo.
