V preteklih letih so hekerji napadli podjetja, kot sta Dropbox in LinkedIn, katerima so ukradli 71 milijonov in 117 milijonov gesel. Zdaj se zdi, da je nekdo zbral te prepovedane podatkovne baze in še veliko več drugih v ogromno zbirko 2,2 milijarde edinstvenih uporabniških imen in povezanih gesel ter jih prosto distribuira na hekerskih forumih in torrentih, vsebujejo pa zasebne podatke pomembnega deleža ljudi.

MEGA ZBIRKA

V začetku tega meseca je varnostni raziskovalec Troy Hunt identificiral prvo tranšo mega zbirke, ki jo je anonimni ustvarjalec poimenoval Zbirka št. 1, o kateri je Hunt povedal, da je predstavljenih 773 milijonov unikatnih uporabniških imen in gesel. Zdaj so drugi raziskovalci pridobili in analizirali dodatno obsežno bazo podatkov, imenovano Zbirke št. 2-5, ki obsega 845 gigabajtov ukradenih podatkov in 25 milijard zapisov. Po izračunu dvojnikov so analitiki na inštitutu Hasso Plattner v Potsdamu v Nemčiji ugotovili, da skupni odvzem predstavlja skoraj trikratno količino Zbirke št. 1.

“To je največja zbirka kršitev, ki smo jih kdajkoli videli”

Chris Rouland, raziskovalec za kibernetsko varnost in ustanovitelj varnostnega podjetja IoT Phosphorus.io, pravi, da je zbirka že precej krožila med hekerji “pod zemljo”. Videl je, da je datoteko sledilca, ki jo je prenesel, “zasadilo” več kot 130 ljudi, ki so imeli podatkovno zbirko, in da je bila že prenesena več kot 1000-krat. “To je neprimerljiva količina informacij in gesel, ki bodo sčasoma prišli v javno domeno,” pravi Rouland.

VELIKOST ZBIRKE

Kljub svoji nepredstavljivi velikosti, ki jo je prvi objavil nemški informacijski portal Heise.de, se zdi, da večina ukradenih podatkov prihaja iz prejšnjih tatvin, kot so kršitve podjetij Yahoo, LinkedIn in Dropbox. WIRED je preučil vzorec podatkov in potrdil, da so gesla dejansko veljavna, večinoma pa predstavljajo gesla, ki izvirajo iz kar nekaj let nazaj.

WIRED je prosil Roulanda, naj poišče e-poštne naslove več kot ducat ljudi; vsi (razen para) so odkrili vsaj eno geslo, ki so ga uporabili za spletno storitev na strani, ki je bila vdrta v zadnjih letih.

“Za internet kot celoto je to še vedno zelo vplivno.”

(Chris rouland)

Raziskovalci Hasso Plattner inštituta so kot še en dejavnik pomembnosti podatkov ugotovili, da 750 milijonov gesel prej ni bilo vključenih v njihovo bazo podatkov o puščenih uporabniških imenih in geslih in da 611 milijonov gesel, ki so v zbirkah 2–5, ni bilo vključenih v podatke Zbirke št. 1. Raziskovalec Hasso Plattner inštituta David Jaeger predlaga, da bi nekateri deli zbirke lahko izhajali iz avtomatiziranega hekanja manjših, nejasnih spletnih strani, da bi ukradli njihove baze podatkov o geslih, kar pomeni, da se je prvič pojavil pomemben del gesel.

Sama velikost zbirke prav tako pomeni, da lahko nekvalificiranim hekerjem ponudi zmogljivo orodje za preprosto preizkušanje uporabniških imen in gesel na kateri koli javni spletni strani v upanju, da bodo ljudje ponovno uporabili gesla – tehnika, znana kot polnjenje gesel.

Rouland ugotavlja, da je v procesu približevanja prizadetim podjetjem in bo podatke tudi delil z vsemi glavnimi uradniki za varnost informacij, ki ga kontaktirajo, da bi zaščitili osebje ali uporabnike.

KUP PRILOŽNOSTI

Rouland domneva, da so bili podatki zbrani iz starejših kršitev in da so bili dani v prodajo, potem pa jih je ukradel ali kupil heker. Ta jih je, da bi razvrednotil sovražni izdelek, razkril širše. Datoteka torrent tracker, ki jo je uporabil za prenos zbirke, je vključevala “readme”, ki je zahtevala, da se prenosniki “sejejo čim dlje,” ugotavlja Rouland. “Nekdo si to želi tam zunaj,” pravi.

Toda drugi raziskovalci pravijo, da takšna množična podatkovna zbirka, ki se prosto deli, pomeni nekaj drugega: da se je v starih hekerjih v preteklih letih zbralo dovolj starih mega zbirk osebnih podatkov, da lahko vsebujejo obsežno, vplivno količino osebnih podatkov.

NAŠ NASVET

Vemo, da dandanes hekerji prežijo na nas z vseh strani, zato sproti in povsod menjavajte vaša gesla! Uporabite lahko upravitelja gesel (npr. KeePass), kjer imate shranjena vsa vaša gesla (da vam jih ni treba vedeti na pamet oz. da jih ne pozabite) in tako zaščitite sebe in svoje zasebnost!

Vir: Tukaj