Internet w ostatnich dniach zalany został doniesieniami w sprawie kolejnego potężnego wycieku danych, który objął dziesiątki milionów loginów i haseł powiązanych z najpopularniejszymi usługami online takimi jak Gmail, Facebook, Instagram, Yahoo, Outlook czy Netflix. Eksperci cyberbezpieczeństwa ostrzegają, że skala procederu jest ogromna i dotyczy setek milionów użytkowników na całym świecie, a jej skutki mogą być odczuwalne przez kolejne miesiące i lata.
Odkryta baza danych zawierająca informacje uwierzytelniające użytkowników, między innymi 48 milionów kont Gmail, kilka milionów kont Yahoo i prawie półtora miliona kont Outlook, nie była zabezpieczona hasłem ani zaszyfrowana. To oznacza, że każdy, kto miał dostęp do tej bazy, mógł w łatwy sposób odczytać login i odpowiadające im hasła. Dane te pojawiły się w przestrzeni publicznej i były przez jakiś czas dostępne bez jakichkolwiek ograniczeń bezpieczeństwa, co sprawia, że społeczność cyberbezpieczeństwa traktuje ten incydent jako jedno z najpoważniejszych naruszeń integracji danych użytkowników w ostatnim czasie.
W samym serwisie Business Insider oraz innych źródłach dziennikarskich pojawiają się niezależne potwierdzenia tej sytuacji. Badacz ds. cyberbezpieczeństwa Jeremiah Fowler natrafił na ogromną, otwartą bazę danych zawierającą prawie 150 milionów unikalnych loginów i haseł, zajmującą blisko 96 GB surowej, tekstowej informacji. Wśród nich znalazły się dane nie tylko kont użytkowników różnych usług społecznościowych i mailowych, ale także kont streamingowych, platform rozrywkowych, portali finansowych, a nawet domen edukacyjnych i rządowych.
Co ważne, według raportów specjalistów nie doszło do włamania się do systemów wewnętrznych takich firm jak Google czy Microsoft. Zamiast tego dane zostały najprawdopodobniej zgromadzone przez złośliwe oprogramowanie typu infostealer malware, które infekuje komputery i urządzenia mobilne użytkowników, potajemnie zapisuje ich dane logowania, a następnie przesyła je do tzw. „collectorów” lub baz danych kontrolowanych przez cyberprzestępców.
Ten scenariusz oznacza, że problem dotyka bezpośrednio użytkowników, a niekoniecznie samych dostawców usług. Hasła i konta nie zostały „złamane” w sensie technicznego ataku na infrastrukturę dostawcy, zamiast tego były kradzione na masową skalę na urządzeniach końcowych, gdzie użytkownicy logowali się do swoich kont zainfekowanych złośliwym kodem.
Specjaliści ds. bezpieczeństwa od miesięcy ostrzegają, że takie trojany i malware typu keylogger, credential stealer stanowią narastające zagrożenie. W przeciwieństwie do klasycznych ataków hakerskich na serwery, tego typu oprogramowanie potrafi działać niezauważenie w tle na urządzeniach użytkowników, zbierając dane logowania, które później trafiają do niechronionych baz danych. Nieustannie rośnie liczba przypadków, gdy konta internetowe są przejmowane nie przez złamanie systemu usługodawcy, ale przez włamanie się do komputera lub smartfona użytkownika.
Wiele osób nadal korzysta z tych samych haseł w różnych serwisach, nie aktywuje dwuskładnikowego uwierzytelnienia (2FA), a ich urządzenia nie są odpowiednio zabezpieczone przed złośliwym oprogramowaniem. Według ekspertów to właśnie takie zachowania ułatwiają cyberprzestępcom zbieranie informacji przez lata i w różnych formach.
Co więcej, sama obecność tak ogromnej bazy danych uwierzytelnień, gdzie hasła i adresy e-mail są przechowywane bez żadnej ochrony oznacza, że każdy może teraz sprawdzić, czy jego dane znajdują się tam i mogą zostać wykorzystane w przyszłych atakach phishingowych, próbach podszywania się pod użytkownika lub nieautoryzowanych logowaniach.
Warto podkreślić, że wyciek ten nie ogranicza się do popularnych e-maili i mediów społecznościowych. W bazie znaleziono również konta powiązane z usługami finansowymi, platformami kryptowalutowymi, a także konta związane z edukacją czy konta resortowe. Taka różnorodność danych tylko zwiększa ryzyko ich wykorzystania w skomplikowanych atakach na użytkowników, bazujących na ich tożsamości cyfrowej, historii logowań i powiązanych usługach.
Dla przeciętnego użytkownika internetowego największym pytaniem jest naturalnie: czy moje konto jest na liście tych wycieków? Choć pełna lista nie została ujawniona publicznie w łatwo przeszukiwalnej formie, eksperci zalecają korzystanie z narzędzi sprawdzających wycieki, takich jak Have I Been Pwned? oraz podobnych usług, które automatycznie porównują adresy e-mail z publicznymi bazami wycieków i informują użytkownika o ich statusie.
Najpilniejszym krokiem, jaki wszyscy użytkownicy powinni podjąć od razu po takim incydencie, jest zmiana haseł. To absolutna podstawa bezpieczeństwa: hasła powinny być unikalne dla każdego konta, skomplikowane i trudne do odgadnięcia. Powinny też być regularnie aktualizowane, zwłaszcza jeśli są podejrzenia ich ujawnienia.
Drugim kluczowym krokiem jest włączenie uwierzytelniania dwuskładnikowego (2FA) wszędzie tam, gdzie jest to możliwe. 2FA może w znacznym stopniu zmniejszyć ryzyko przejęcia konta nawet wtedy, gdy ktoś pozna hasło użytkownika. Dodatkowa warstwa zabezpieczeń, taka jak kod SMS, aplikacja uwierzytelniająca lub klucz sprzętowy, znacznie ogranicza możliwości ataku.
Eksperci rekomendują również rozważenie zastąpienia tradycyjnych haseł bezpieczniejszymi kluczami dostępu (passkeys), które są mniej podatne na wykradzenie. Passkeys działają trochę jak cyfrowe klucze powiązane z urządzeniem i nie mogą być łatwo użyte na innym urządzeniu bez dodatkowej weryfikacji.
Kolejnym krokiem jest monitorowanie aktywności konta. Regularne sprawdzanie historii logowań, podejrzanych prób logowania i alertów dostarczanych przez usługi e-mailowe i społecznościowe. Wiele platform udostępnia narzędzia do monitorowania sesji i aktywności, które mogą pokazać, czy ktoś próbował się logować z nietypowej lokalizacji lub urządzenia.
Nie mniej ważne jest zabezpieczenie urządzeń, z których korzystamy. Obejmuje to instalowanie aktualnych wersji systemów operacyjnych, programów ochronnych, regularne skanowanie pod kątem malware oraz unikanie podejrzanych plików lub aplikacji, które mogą zawierać infostealer lub inne typy złośliwego oprogramowania.
Adrian Pluta
E-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
