Wielki wyciek milionów loginów i haseł Polaków to wielki problem nie tylko dla internautów, ale również dla firm – np. sklepów internetowych. Nie ma też jednak wątpliwości, że cyberprzestępcy wykorzystają ujawnioną bazę danych do dalszej kradzieży wrażliwych informacji i wyłudzania pieniędzy. Co zrobić, by się zabezpieczyć?
Wyciek loginów i haseł, który we wtorek ujawniła zaufanatrzeciastrona.pl, to prawdopodobnie jeden z największych tego typu incydentów w naszym kraju. Na jedną z grup w sieci Tor trafił potężny plik zawierający ok. 4,5 mln rekordów z poufnymi danymi internautów – m.in. danymi logowania do Facebooka, Allegro, serwisu gov.pl, kont pocztowych Onetu i WP, sklepów x-kom i Morele oraz banków mBank i ING. Hasła – jak wskazuje zaufanatrzeciastrona.pl – najpewniej zostały wykradzione przez szkodliwe oprogramowanie z przeglądarek internetowych, w których pamięci użytkownicy dla ułatwienia je zapisują.
Do czego cyberprzestępcom wykradzione hasła? “Implikacje będą szerokie”
Eksperci nie mają wątpliwości, że wyciek będzie odbijał się szerokim echem jeszcze przez długi czas. W jakich jednak konkretnie celach mogą zostać wykorzystane wykradzione dane? Jak wskazuje Aleksander Kostuch z Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT, przede wszystkim do swojej dalszej działalności – m.in. do ataków phisingowych, których celem jest dalsza kradzież wrażliwych danych i pieniędzy.
Implikacje tego wycieku będą szerokie. Wykradzione dane stawiają przestępców, którzy wejdą w ich posiadanie u wrót sezamu i muszą oni wykonać ledwie jeden krok, aby do niego wejść. Tym krokiem będą np. działania typu scam czy phising, służące dalszemu wyłudzeniu danych i kradzieży pieniędzy
– mówi Kostuch. Jak jednak zaznacza, będzie to problem nie tylko dla indywidualnych użytkowników internetu, ale również dla serwisów czy sklepów internetowych, do których kont hasła wyciekły. Zauważa też, że tak duży incydent może zachwiać zaufaniem klientów.
Problem w rzeczywistości dotyczy nie tylko indywidualnych osób, których dane skradziono, co naraża je na próby wyrafinowanych oszustw. Skala incydentu może zachwiać zaufaniem np. do sklepów internetowych, które przecież są dość istotnym elementem polskiej gospodarki. Analizując problem i wynikające z niego konsekwencje musimy o tym pamiętać
– komentuje inżynier firmy Stormshield.
Co zrobić, jeśli twoje hasło wyciekło do sieci?
Rząd uruchomił w środę specjalne narzędzie, które może pokazać, czy nasze hasło znalazło się w bazie danych opublikowanej w sieci Tor. Aby to sprawdzić, skorzystać możemy też ze znanej wyszukiwarki “have i been pwned?”. Co w przypadku, gdy okaże się, że dane logowania powiązane z danym adresem e-mail faktycznie wyciekły? Przede wszystkim należy zmienić hasła do kont, które zostały ujawnione oraz podobne lub identyczne hasła do wszystkich pozostałych kont, z których korzystamy, nawet jeśli nie znalazły się one na liście. Przy układaniu nowego hasła, warto postawić na silną kombinację liter, cyfr i znaków specjalnych. O tym, jak powinno wyglądać dobre hasło niejednokrotnie pisaliśmy na Next.gazeta.pl (np. w TYM miejscu).
Jak tłumaczy ekspert ds. cyberbezpieczeństwa, Paweł Jurek z firmy DAGMA Bezpieczeństwo IT, niezwykle istotne jest zastosowanie się do czterech prostych kroków, aby uniknąć utraty konta w przyszłości. Pierwszy to stosowanie skomplikowanych haseł różnych dla każdego konta. Aby móc je zapamiętać, można wspomóc się sprawdzonym menadżerem haseł, np. od firmy Google. Poza tym ważne jest korzystanie z uwierzytelniania wieloskładnikowego, bo to znacząco utrudnia zadanie cyberprzestępcom oraz zabezpiecza komputer lub smartfon, również przed fizycznym dostępem. Chodzi tu m.in. o blokowanie urządzenia przy pomocy np. odcisku palca oraz nieudzielanie dostępu do niego osobom postronnym.
Źródło: next.gazeta.pl
