Wielki wyciek danych, w wyniku którego każdy może uzyskać dostęp do ogromnej ilości adresów mailowych oraz haseł do nich, nazwano zbiorczo „Collection #1”. Problemem jest zestaw 12000 plików umieszczonych w chmurze „MegaShare”. W sumie zawierają 87 GB wrażliwych danych.
Co takiego znajduje się we wspomnianych plikach? 772904991 unikalnych adresów e-mail oraz 21229975 unikalnych haseł. Hasła nie zostały przejęte w formie zaszyfrowanej – są to pełne, łatwe do odczytania frazy, które wystarczy wpisać w odpowiednie pole podczas logowania się na skrzynkę mailową.
Załóżmy teraz, że nie mamy włączonej podwójnej weryfikacji w Gmailu – ktoś znając nasz e-mail i hasło, mógłby wpisać się do wielu usług, automatyzując logowanie do różnych usług czy stron wykorzystując poświadczenia „Zaloguj przy pomocy…”.
Spora część z adresów e-mail i haseł robi już kolejne okrążenie wokół świata, gdyż zostały ujawnione podczas któregoś z poprzednich wycieków danych. Jednak 140 milionów adresów e-mail i 10 milionów haseł jest całkowicie nowych. To zbiór naruszeń baz danych z ponad 2000 miejsc. Dlatego Collection #1 zyskał taką nazwę – jest numerem jeden spośród wszystkich wykrytych w ostatnich latach wycieków danych.
Now emailing 768,253 individuals who subscribed for notifications and another 39,923 who are monitoring domains…
— Troy Hunt (@troyhunt) January 16, 2019
Co zrobić?
Warto sprawdzić, czy nasz adres mailowy pojawił się w tym ogromnym wykazie. W tym celu można skorzystać ze strony Have I Been Pwned. Po wpisaniu naszego e-maila, dostaniemy listę przecieków, w których „brał udział”.
Jeśli nasz adres e-mail znajduje się na liście, warto zmienić hasło do niego i włączyć uwierzytelnianie dwuskładnikowe, jeśli jeszcze tego nie zrobiliśmy. W ten sposób uniemożliwimy potencjalnym oszustom dostęp do naszego konta pocztowego.
W sytuacji gdy używamy tego samego hasła do logowania się w różnych miejscach – przestańmy to robić. To proszenie się o kłopoty. Można skorzystać z wypróbowanych menagerów haseł lub ze starej metody zapisania ich w jakimś bezpiecznym miejscu. Byle nie na mailu.
źródło: @troyhunt przez Android Authority
zdjęcie tytułowe: blogtrepreneur.com/tech
