Wycieki danych już dawno przestały robić wrażenie, ale to jest właśnie ten moment, gdy trzeba powiedzieć: „wow!”. Have I Been Pwned przetworzyło największy zbiór danych w swojej historii. Skala jest tak duża, że branża skupiona wokół cyberbezpieczeństwa zatrzęsła się w posadach.
Skala nowego zbioru Synthient Credential Stuffing Threat Data jest trzykrotnie większa niż wszystko, co HIBP obsługiwało wcześniej. To efekt wieloletniej praktyki cyberprzestępców: łączenia starych wycieków, zrzutów z botnetów, kradzieży haseł z przeglądarek i dowolnych resztek tego, co można spieniężyć na forach.
Troy Hunt, twórca serwisu, wskazuje, że to nie są świeże włamania, ale dane odgrzane i uzupełnione, sortowane według użyteczności dla automatów brute-force. Brzmi znajomo. Najważniejsze jest jednak to, że część haseł wciąż jest w użyciu – czasem od ponad dwóch dekad. To powinien być zimny prysznic dla każdego, kto korzysta z jednego hasła od lat i nic sobie z tego nie robi.
Ludzie potwierdzają, że to ich hasła
Hunt zrobił to, czego wielu administratorów woli nie robić: zweryfikował swoje własne dane. Następnie poprosił o pomoc wybranych subskrybentów HIBP. W odpowiedziach pojawiły się potwierdzenia, że hasła są prawdziwe i… nadal używane.
Hasła słabe, mocne, stare i nowe – w tej mieszance nie było żadnego wzorca. Potwierdza się wbijana ludziom do głowy zasada: jeśli znajdziesz tam swoje, traktuj to, jak absolutne zagrożenie: zerojedynkowo. Nie ma tak, że „eee tam, jakoś to będzie”.
Pwned Passwords rośnie
Wszystkie 1,3 miliarda haseł trafiły do usługi Pwned Passwords. To zbiór, który pozwala sprawdzić, czy konkretne hasło kiedykolwiek wyciekło – bez łączenia go z adresem e-mail. Mechanizm działa dzięki k-anonimizacji. I tak oto HIBP widzi tylko fragment skrótu Twojego hasła, więc nie wie, czego szukasz. To jedna z niewielu usług, które faktycznie dają użytkownikowi możliwość przeprowadzenia realnej kontroli.
W tym przypadku skutki były o tyle duże, że powstała nawet mini-panika. Na hasło „Gmail” ludzie dosłownie dostali białej gorączki. Plotka o rzekomym wycieku poczty Google rozlała się błyskawicznie. Hunt z HIBP uciął temat: Gmail nie został zhakowany.
W najnowszej bazie znajduje się 32 mln różnych domen, z czego gmail.com jest największą. Ale właśnie tak działa statystyka – jeśli połowa ludzi korzysta z Gmaila, to większość danych w wycieku będzie miała adresy Gmaila. To nie jest dowód na żadną lukę. 80% całego zbioru nie ma nic wspólnego z wyciekiem z Google. Mit obalony.
Techniczne piekło
Ładowanie bazy o rozmiarze kilku miliardów rekordów to problem sam w sobie. HIBP opisało tego kulisy: Azure SQL Hyperscale działał na czerwonych wskaźnikach obciążenia przez dwa tygodnie. Zwykłe zapytania SQL, choćby UPDATE potrafiły zawiesić się lub wyłożyć instancję.
To operacja, przy której nawet surowa moc chmury okazuje się krucha. Batch processing, kontrolowane wysyłki powiadomień, unikanie blacklistingu u dostawców wiadomości e-mail – wszystko to pokazuje, jak cienka jest granica, której przekroczenie oznacza niepowodzenie operacji powiadomienia osób objętych wyciekiem o tym, że coś poszło nie tak.
Powiadomienia o naruszeniach wysłano do 2,9 mln subskrybentów platformy. Każdy mail musiał przejść przez filtry antyspamowe, a ich zbyt szybka wysyłka groziłaby odcięciem HIBP od największych serwerów pocztowych. To mało widowiskowa, ale kluczowa część całej operacji.
Czytaj również: 100 000 stron zagrożonych atakiem. Musisz to usunąć jak najszybciej
Minimum higieny cyfrowej
Ów wyciek jest nie tylko spektakularny, on był niejako… potrzebny. Stanowi bardzo istotne ostrzeżenie dla niemalże każdego. Jeżeli Twoje hasło jest unikalne, długie i trzymane w menedżerze haseł, jesteś bezpieczniejszy niż 95% użytkowników internetu. Jeśli powtarzasz hasła – masz problem i prędzej lub później odczujesz tego skutki.
3 zasady, którymi musisz się kierować:
-
używaj menedżera haseł,
-
generuj unikalne kombinacje login / hasło wszędzie,
-
włącz uwierzytelnianie dwuskładnikowe lub passkeye.
Biorąc pod uwagę to, co właśnie dodano do Have I Been Pwned, naprawdę warto o to zadbać. W przeciwnym razie ktoś inny „zadba” o Twoje dane w Internecie. I uwierz mi, na pewno nie zrobi z nimi nic dobrego.