Na jednym z hackerskich for internetowych pojawiła się oferta sprzedaży bazy, która zawiera 773 miliony adresów e-mail i 21 milionów haseł pochodzących z ponad 2000 serwisów (także polskich). Wieczysty dostęp do tej bazy, którą media nazywają “Collection #1“, wraz z regularnymi aktualizacjami kosztuje jedynie 45 dolarów…

Skąd pochodzą dane?

Dane z baz różnych firmy wyciekały, wyciekają i będą wyciekać. Są ludzie, którzy się włamują i wykradają dane, są tacy którzy je potem przeglądają i sprzedają i są też tacy, którzy “kolekcjonują” wykradzione bazy danych, a potem się nimi wymieniają lub ponownie odsprzedają. Wystawiona na sprzedaż lista Collection #1, o której “sensacyjnie” piszą różne media “waży” 87GB i składa się tak naprawdę z wielu wycieków, z których znaczna część (ponad 75%) była już opublikowana w internecie:

W menu po lewej widać, z czego składa się Collection 1. Fot. Brian Krebs

Co więcej, Collection #1 to tylko jedna z tzw. mega-list, czyli kompilacji wielu różnych wycieków. Takich mega list jest zdecydowanie więcej! Łącznie na sprzedaż wystawiono blisko 1TB danych, a podobno sprzedawca ukrywający się pod pseudonimem sanixer ma jeszcze dodatkowe 3TB danych, niewystawione na sprzedaż. Oto pełne ogłoszenie:

Są jednak i inni sprzedawcy, o których media nie wspominają (i którzy nie mają nic wspólnego z tym wyciekiem). Oto baza jednego z nich, na którą — jak widzicie po znacznikach czasowych — natknęliśmy się całkiem niedawno:

Warto tu podkreślić, że w takich paczkach dane pochodzą nie tylko z włamań. Czasem są to po zcrawlowane z publicznie dostępnych adresów dane osobowe (głównie e-maile, adresy, telefony) (por. Czy locatefamily.com ma już Twoje dane?). Wystarczy, że ktoś po zakupie w sklepie internetowym zauważy, że link do jego faktury to https://sklep.pl/faktura_0282772.pdf i postanowi sprawdzić inne numerki w URL-u. Bum! Po kilkudziesięciu minutach ma listę danych teleadresowych prawie 300 tysięcy klientów tego sklepu (por. Wykradanie danych z rządowego serwisu Ksiąg Wieczystych, Wyciek danych klientów IBOOD, Banku Millenium oraz sklepu Komputronik)

Ważne jest, aby wiedzieć, jakie konkretnie nasze dane pojawiają się w danym “wycieku”. Czy jest to tylko adres e-mail, czy także hasło, a jeśli hasło, to z jakiego serwisu ono wyciekło. Należy założyć, że wszystkie nasze dane znajdujące się w tym serwisie są już “publicznie dostępne”, nawet jeśli były to “prywatne chaty”.

Dane z 2000+ serwisów

Skupmy się teraz na zwartości megalisty “Collection #1”, bo o niej najwięcej wiadomo. Wiemy już, że nie jest to ani “największy wyciek”, ani w ogóle coś spektakularnego, a ponieważ te dane już od dawna krążyły pomiędzy różnymi grupami, to jeśli ktoś miał Was dojechać, to prawdopodobnie już to nastąpiło. Mieliście ostatnio informacje o nieudanych próbach logowania, albo niespodziewanie przychodzące SMS-ami od różnych serwisów “kody” służące do logowania?

To z jakich serwisów pochodzą dane w Collection #1, możecie sprawdzić tutaj. Dla ułatwienia wypisujemy z tej listy wszystkie serwisy z polskich domen:

81288 Okt 11 2017 cad-akademia.pl {1.494} [HASH].txt

2679593 Feb 17 2018 fotografia.interklasa.pl {52.040} [HASH].txt

1098267 Mai 12 2018 gmina.e-sochaczew.pl {20.473} [HASH] [NOHASH].txt

7178520 Nov 25 2017 iceneo.pl {135.700} [HASH].txt

48546 Jun 3 2018 jest-lirycznie.pl {1.714} [NOHASH].txt

197313 Mär 25 2018 mojetesty.pl {6.865} [NOHASH].txt

618125 Okt 1 2017 nieruchomoscikwiatkowski.pl {11.221} [HASH].txt

606600 Jun 11 2018 rapido.com.pl {19.110} [NOHASH].txt

149409 Mär 10 2018 skaner.p.lodz.pl {2.575} [HASH].txt

4798114 Okt 14 2017 www.centrumdruku.com.pl {107.430} [HASH] [LOGIN_PWD].txt

119714 Mär 13 2018 www.djembe.pl {2.115} [HASH].txt

1112784 Nov 18 2017 www.eis.com.pl {21.441} [HASH].txt

84820 Dez 11 2017 www.ekonomicznie.pl {1.611} [HASH].txt

146293 Nov 29 2017 www.teatrgombrowicza.art.pl {2.800} [HASH].txt

Jak widzicie, nie są to jakieś superwartościowe serwisy. Czy w takim razie jest się czego obawiać? Tak, ale tylko jeśli ktoś korzystał z tego samego hasła także do bardziej wartościowych serwisów, takich jak:

Facebook, Twitter i inne serwisy społecznościowe,

Netflix, Spotify, Uber i inne płatne usługi online

PayPal, Skrill i inne portmonetki

czy przede wszystkim skrzynka e-mail

Jeśli jeszcze gdzieś miałeś takie samo hasło…

Osoby, które zakupią dostęp do listy, będą mogli Cię na niej wyszukać po e-mailu, numerze telefonu lub nazwie użytkownika. Czasem obok Twojego rekordu zobaczą hasło, a czasem kilka haseł (w zależności od tego w ilu z zaatakowanych serwisów miałeś konta).

W kolejnym kroku, osoby te, a na tym etapie to już raczej “włamywacze”, wezmą Twoje hasło (hasła) i spróbują się nimi zalogować w bardziej wartościowych serwisach. Twojej skrzynce e-mail, Facebooku, Allegro, PayPal, Netflix, Spotify, Uber, Steam, itp. Jeśli hasło miałeś takie samo — stracisz bardziej wartościowe konto, a czasem także pieniądze.

Dlatego tak istotne jest aby nie korzystać z tego samego hasła do więcej niż jednego serwisu, a najlepiej w ogóle nie myśleć o hasłach i nauczyć się korzystać z Managera Haseł (np. KeePass) który sam zadba o to, abyśmy mieli różne, dobre hasła w każdym z serwisów.

Najmocniej zabezpiecz swoją skrzynkę pocztową

Jeśli mielibyście teraz czas aby zabezpieczyć tylko jeden z serwisów internetowych, to niech będzie to Wasza skrzynka e-mail. To wasze najważniejsze konto, bo jeśli ktoś się do niego dostanie, to nie tylko będzie w stanie wykraść waszą tożsamość (bo na skrzynce macie różne skany umów i dokumentów) ale i wasze dane. I to nie tylko te znajdujące się w e-mailach i załącznikach, ale także te z zewnętrznych usług, np. Dropbox, do których włamywacz uzyska dostęp przez mechanizm “przypomnij hasło“. Zewnętrzne serwisy prześlą przecież link do resetu hasła na kontrolowaną przez włamywacza skrzynkę e-mail. Pisaliśmy już na Niebezpieczniku o takich przypadkach:

Zapamiętajcie:

Jeśli ktoś kontroluje Twojego maila, ma też dostęp do wszystkich pozostałych Twoich kont*, jakie na tego e-maila założyłeś w innych serwisach

Kilka dni temu pisaliśmy, dlaczego dla większości internautów najbezpieczniejszym wyborem będzie skrzynka na GMailu i pokazywaliśmy jak ją poprawnie skonfigurować. Warto przeczytać ten artykuł i wdrożyć zalecenia, niezależnie od tego, czy (już) korzystacie z GMaila.

Włącz 2FA najlepiej jako U2F

Warto też, gdzie się da, włączyć dwuetapowe uwierzytelnienie (tzw. 2FA). Wtedy nie musimy się przejmować tym, że w jakimś wycieku pojawi się nasze hasło. Bo nikt nie pozyska naszych danych z innych naszych kont, gdyż poza znanym mu już hasłem będzie potrzebował także dodatkowego kodu, albo z aplikacji albo SMS-a albo z odpowiedniego urządzenia (jeśli zdecydujemy się skorzystać z najbezpieczniejszego wariantu 2FA, czyli U2F — sprzętowego tokena). I tego właśnie dotyczy * dwa akapity wyżej.

Jak sprawdzić, czy jestem w tym wycieku?

Naprawdę, dla swojego dobra — załóż że jesteś ofiarą wycieku. W jakimś wycieku znajdujesz się na pewno. Może niekoniecznie w tym (Collection #1). Ale nawet jeśli nie ma Cię w tym, to przecież nie masz pewności, że nie jesteś na którejś z pozostałych megalist.

Dlatego zamiast tracić czas na sprawdzanie swoich danych w różnych wyciekach, po prostu zastosuj się do rad podanych powyżej: zacznij korzystać z managera haseł, zabezpiecz skrzynkę e-mail i włącz U2F gdzie się da. Wtedy przyszłe incydenty tego typu nie będą Ci aż tak straszne.

Te 3 rady to jednak nie wszystko, co warto zrobić, aby być bezpieczniejszym w internecie i ochronić się przed kradzieżą swojej tożsamości, danych i pieniędzy. Jeśli chcesz zobaczyć, jak działają hakerzy i dowiedzieć się jak w prosty sposób można przed nimi zabezpieczyć swój smartfon, komputer i konta w serwisach internetowych, to zapraszamy na nasz wykład pt. Jak nie dać się zhackować?.

Każdemu uczestnikowi gwarantujemy opad szczęki, bo w trakcie wykładu na żywo pokazujemy kilka widowiskowych ataków hackerskich — od wysyłania podrobionych e-maili i SMS-ów w czyimś imieniu, przez podglądanie ludzi przez kamerkę aż do podsłuchiwania telefonów. Wykład zrozumie każdy, nawet osoby nietechniczne. Dlatego weźcie ze sobą rodziców! Najbliższe terminy wykładu i miasta (w kolejności alfabetycznej) poniżej:

Jeśli chcesz dołączyć do grona lepiej zabezpieczonych Polaków, to wejściówkę kupisz tutaj.

Przeczytaj także: