Po wycieku Collection #1 eksperci apelują o zmiany haseł

Opublikowanie 772 mln adresów e-mail i 21 mln haseł może mieć poważne skutki, włączając kradzież tożsamości i umożliwienie dostępu do szeregu usług i danych osoby poszkodowanej.

Publikacja: 18.01.2019 16:55

Po wycieku Collection #1 eksperci apelują o zmiany haseł

Foto: Daniel Acker/Bloomberg

Ujawnienie w sieci danych, które dotyczą również wielu polskich użytkowników, to jeden z największych wycieków tego typu w historii. Leszek Tasiemski, wiceprezes ds. badań i rozwoju w firmie F-Secure, tłumaczy, że po raz kolejny wielomilionowe liczby dotyczące wycieków skłaniają do refleksji na temat bezpieczeństwa naszych danych logowania. – W przypadku Collection #1 najbardziej niepokojąca jest pula 21 mln haseł, które wyciekły w postaci czystego tekstu. Wskazuje to na niewłaściwe przechowywanie danych logowania przez podmiot, z którego oryginalnie je wykradziono. Hasła nigdy nie powinny być gromadzone przez daną aplikację w postaci pozwalającej na przywrócenie ich oryginalnego brzmienia. Aby zadbać o ich bezpieczeństwo stosuje się tzw. jednokierunkowe funkcje skrótu – tłumaczy Tasiemski.

CZYTAJ TAKŻEW sieci ujawniono wyciek kont e-mail i haseł do nich na niespotykaną skalę

Pozwalają one zweryfikować czy hasło podane przez użytkownika w procesie logowania jest poprawne, bez znajomości tego hasła przez serwer. W takim przypadku, nawet jeśli dane wyciekną, to nie są one dostępne w jawnej postaci. – Wówczas ich odtworzenie przez cyberprzestępców jest co najmniej kłopotliwe, a w niektórych przypadkach nawet niemożliwe – twierdzi wiceszef F-Secure.

W wypadku Collection #1 przejęta przez osoby trzecie korespondencja mailowa pozwala ustalić, jakie konta posiada osoba poszkodowana. Ale zagrożeń jest więcej. Sama korespondencja może zawierać hasła – jeśli skrzynka pocztowa traktowana jest jak prywatny notatnik i dane logowania przechowywane są w formie jawnej, jako emaile do samego siebie.

– Bezwzględnie należy zmienić hasło i zweryfikować aktywność na koncie mailowym oraz serwisach, o których informacje można pozyskać z korespondencji. Wszelkie podejrzane urządzenia na liście aktywności warto zablokować – radzi Zbigniew Zasieczny, wiceprezes Transition Technologies Advanced Solutions.

Jak wyjaśnia, wielu dostawców e-mail blokuje podejrzane próby logowania automatycznie, więc w wielu przypadkach próby logowania z nietypowych dla profilu danego użytkownika lokalizacji lub systemów mogą zostaną zablokowane. Jego zdaniem, do momentu zweryfikowania aktywności w systemach zewnętrznych, związanych z kontem mailowym, warto wyłączyć integracje z kontem np. w postaci dopuszczonych połączeń z  poziomu klientów email. – Warto zmienić hasła we wszystkich usługach, które można powiązać z kontem mailowym – dodaje Zasieczny.

IT

Ujawnienie w sieci danych, które dotyczą również wielu polskich użytkowników, to jeden z największych wycieków tego typu w historii. Leszek Tasiemski, wiceprezes ds. badań i rozwoju w firmie F-Secure, tłumaczy, że po raz kolejny wielomilionowe liczby dotyczące wycieków skłaniają do refleksji na temat bezpieczeństwa naszych danych logowania. – W przypadku Collection #1 najbardziej niepokojąca jest pula 21 mln haseł, które wyciekły w postaci czystego tekstu. Wskazuje to na niewłaściwe przechowywanie danych logowania przez podmiot, z którego oryginalnie je wykradziono. Hasła nigdy nie powinny być gromadzone przez daną aplikację w postaci pozwalającej na przywrócenie ich oryginalnego brzmienia. Aby zadbać o ich bezpieczeństwo stosuje się tzw. jednokierunkowe funkcje skrótu – tłumaczy Tasiemski.

2 / 3
artykułów
Czytaj dalej. Subskrybuj
IT
Cashback i moneyback – co to za usługi i jak działają?
IT
Uwaga na oszustwa internetowe – scam wciąż zbiera żniwo
IT
Włamanie na Instagramie: jak odzyskać konto i jak je chronić?
IT
OSINT, czyli tajniki zbierania informacji ze źródeł otwartych
Materiał Promocyjny
Jaki jest proces tworzenia banku cyfrowego i jakie czynniki są kluczowe dla jego sukcesu?
IT
Czy Telegram to bezpieczny komunikator i czy warto z niego korzystać?
IT
Cyberprzestępcy vs. instytucje finansowe – wygra ten, kto lepiej zrozumie drugą stronę