Czy moje konto jest bezpieczne?
Niedawno pisałem o tym ze hasła są niebezpieczne. Wymieniłem największe grzechy haseł. Tym razem chciałbym, abyś się zastanowił czy Twoje konta w serwisach internetowych nie zostały “zhakowane”. Jak się tego dowiedzieć? Czy to ma wpływ na Twoje bezpieczeństwo? Jak się zabezpieczyć? Na te pytania postaram się odpowiedzieć poniżej.
Jak się dowiedzieć?
Chcę w tym miejscu przedstawić Wam serwis internetowy https://haveibeenpwned.com. Umożliwiający sprawdzenie czy Twoje konto (adres email) wraz z hasłem zostały ujawnione w jakimś wycieku danych – ataku hakerskim.
Nazwa serwisu “Have I been pwned?” (dalej HIBP) to mniej więcej “Czy byłem/zostałem zawstydzony?”. Samo słowo pwned oznacza pokonanie przeciwnika, lub bardziej dosadnie “oznacza przytłaczający tryumf nad przeciwnikiem, który ma też na celu poniżenie go/wyśmianie/zbłaźnienie” – takie wyjaśnienie podaje słownik Miejski.pl.
HIBP jest prywatnym projektem realizowanym przez Troya Hunta – znanego specjalistę związanego z Microsoftem. Serwis opiera się na bazach danych ujawnionych po atakach hakerskich . W celu sprawdzenia swojego konta wystarczy podać w formularzu swój adres email.
O moje konto jest pwned!!!
Jak widać moje konto (adres email) wyciekł już przynajmniej 9 razy. Czy to źle? Nie, to raczej nic nadzwyczajnego. Może raczej świadczyć o tym, że adres email ma już sporą historię i jest stosowany w licznych serwisach internetowych.
Poza nazwą serwisu internetowego widzimy również informacje szczegółowe na temat tego wycieku. Między innymi kiedy miał miejsce i jakie dane zostały skradzione.
Jeśli się zastanawiacie dlaczego ktoś wykradł właśnie Wasze konto, to nie potrzebnie. Zapewniam Was, że to mało prawdopodobne, aby ktoś zawracał sobie głowę właśnie Waszym kontem. W zdecydowanej większości przypadków są to masowe wycieki danych, w których są wykradane dane milionów użytkowników.
Twoje konto też jest zhakowane?! Co robić?
Zazwyczaj informacja o tym, że z jakiegoś serwisu internetowego wyciekły Twoje dane to dobra informacja. Jest ona dla Ciebie źródłem cennej wiedzy i daje Ci szansę na zabezpieczenie się przed skutkami takiego wycieku. Musisz pamiętać bowiem, że te dane które wyciekły w jednym miejscu mogą być wykorzystane do innych włamań. Poza tym, jeśli jakiś wyciek został już ujawniony (a w tu mamy do czynienia tylko z takimi) to operator sam podjął już odpowiednie kroki aby Twoje dane zabezpieczyć. Czy nie za późno – tego Ci nie powiem.
Czy oznacza, że nie musisz już nic robić?
Otóż nie! W artykule o wadach haseł pisałem, że często używamy tego samego hasła w wielu serwisach. Zastanów się! Jeśli hasło, które było używane w zhakowanym serwisie jest używane gdzieś jeszcze, należy je pilnie zmienić wszędzie tam gdzie było używane. Jeśli nie wiesz gdzie używasz takiego lub podobnego hasła to proponuję sprawdzić najpopularniejsze strony i usługi w sieci. Te gdzie logujesz się najczęściej oraz te gdzie masz najwięcej cennych informacji. W tych miejscach koniecznie zmień hasło, ewentualnie dodatkowo uruchom logowanie dwuskładnikowe jeśli jest dostępne. Uwzględnij banki, sieci społecznościowe, dyski internetowe, skrzynki pocztowe. Dodatkowo warto zmienić nawyki i stosować się do dobrych praktyk w zakresie stosowania haseł (opiszę je wkrótce).
Czy mam rozumieć, że ktoś kto zhakował konto zna również moje hasło?
Raczej tak. Nie koniecznie ktoś zna Twoje hasło w jawnej wersji, ale przynajmniej jego wersję “zaszyfrowaną” (tak zwany skrót). Oznacza to, że teoretycznie nie jest w stanie uzyskać tego hasła. Praktyka jednak pokazuje, że teoria “kłamie” – prawda jest bardziej skomplikowana. Najbezpieczniej będzie przyjąć, że Twoje hasło jest znane.
W tym miejscu można też ponownie skorzystać z serwisu HIBP tym razem konkretnie ze strony do weryfikacji haseł. Można tam wpisać swoje hasło (o ile nie mamy dyskomfortu, że podajemy nasze hasło). W wyniku tej operacji zobaczymy czy nasze hasło, a dokładniej część jego zaszyfrowanej postaci, pasuje do jakiegoś rekordu w bazach pochodzących z wycieków.
W przypadku tego konkretnego serwisu, sam autor serwisu zadbał maksymalnie o bezpieczeństwo. Hasło, które wpisujesz w formularzu jest zamieniane na skrót po stronie Twojego komputera (client-side) jeszcze przed wysyłaniem przez sieć i następnie tylko 5 pierwszych znaków tego “skrótu” jest wysyłane do serwisu w celu porównania ze zgromadzonymi danymi. W ten sposób nie ma możliwości aby HIBP otrzymał dane, które mogły by zmniejszyć bezpieczeństwo Twojego hasła. Warto jednak sprawdzić czy na pewno wpisujemy hasło na właściwej stronie internetowej i czy jest ona zabezpieczona prawidłowym certyfikatem SSL.
Dla osób bardzo zapobiegawczych pozostaje jeszcze druga opcja. Można pobrać bazę ze strony i zaimportować te dane do jakiegoś silnika bazodanowego na własnym komputerze aby samodzielnie sprawdzić nasze hasła. Rozpakowane dane to ~25GB (555 mln skrótów SHA1) – stan na kwiecień 2020r.
Bądź na bieżąco!
Troy Hunt udostępnia na swojej stronie również mechanizm listy mailingowej umożliwiającej otrzymanie powiadomienia gdyby w przyszłości nasze dane znalazły się w jakiejś ujawnionej bazie danych. W tym celu można posłużyć się tym mechanizmem. Jeśli jesteś właścicielem domeny możesz monitorować całą domenę wraz ze wszystkimi jej adresami email.
Brak dowodów niczego nie dowodzi
Na koniec ważna uwaga. To, że Twojego adresu email lub Twojego hasła nie ma na tej stronie, nie znaczy, że nigdy nie wyciekło w jakimś ataku hakerskim. Jak sam autor serwisu pisze, mnóstwo ataków nigdy nie wychodzi na jaw. Sam serwis należy traktować jako użyteczny gadżet, który powinien pobudzać wyobraźnię internautów. Pamiętaj, stale należy być czujnym i dbać o swoje bezpieczeństwo w sieci, stosując różnorodne hasła i zmieniając je co pewien czas.
Jeśli chcesz coś dodać od siebie lub masz pokrewny do opisywanego problem, to zachęcam do zostawienia komentarza poniżej.