Saugumo ekspertai aptiko atvirai prieinamą 845 GB duomenų bazę, turinčią 25 milijardus vartotojų ir jų slaptažodžių iš įvairių internetinių paslaugų bei internetinių svetainių. Tai yra didžiausias tokio tipo nutekėjimas interneto istorijoje. Duomenys jau išplito internete ir buvo parsisiųsti daugiau nei tūkstantį kartų, todėl dabar milijonams vartotojų visame pasaulyje kyla pavojus, kad bus neteisėtai prisijungta prie jų profilių.
Visa pavogtų duomenų duomenų bazė buvo pavadinta „Kolekcijos #2-5“. Ji yra beveik 10 kartų didesnis nei „Collections #1“, aptikta šių metų sausio 17 d. Pastaroji siekė 87 GB ir į ją buvo įtraukta prisijungimo vardų ir slaptažodžių iš 773 mln. profilių. Potsdame, Vokietijoje įsikūrusio Hasso Plattnerio instituto analitikai išanalizavo visus penkis archyvus ieškodami dublikatų ir rado 2,2 mlrd. unikalių vardo ir slaptažodžio porų. Pasak „Forbes“, šis nutekėjimas gali paveikti kas trečią asmenį Žemėje.
Išnagrinėjus visų penkių „kolekcijų“ duomenis, paaiškėjo, kad dauguma pavogtų prisijungimo / slaptažodžių porų pateko tiesiai iš senesnių nutekėjimų, kai hakeriai įsilaužė į „Yahoo“, „LinkedIn“, „Dropbox“ ir kitus populiarius išteklius. Kai kurie iš jų jau yra kelerių metų amžiaus ir jie jau seniai nebėra aktualūs. Tačiau išlieka daug šiuo metu naudojamų slaptažodžių. Be to, daugelis vartotojų yra įpratę pakartotinai naudoti senus prisijungimus ir slaptažodžius registruodamiesi įvairioms paslaugoms ir svetainėse.
Portalui „Wired“ paprašius, Chrisas Rolandas patikrino daugiau nei dešimt el. pašto adresų. Paaiškėjo, kad tik du adresai neatskleidė nei vieno slaptažodžio, kurį žmonės naudodavo prisijungti prie pastaraisiais metais nulaužtos svetainės. Be to, Hasso Plattnerio instituto mokslininkai nustatė, kad 750 milijonų profilių anksčiau nebuvo patekę į nutekėjimų duomenų bazę.
Chrisas Rolandas šiuo metu dirba su bendrovėmis ir paslaugomis, kurių duomenys buvo pavogti. Jis yra pasirengęs dalytis nutekėjimu su visais informacijos saugumo vadovais, kurie su juo susisieks, kad padėtų apsaugoti darbuotojus ar naudotojus.
Ar yra pavojus jums ir ką daryti?
Viso nuotėkio mastą vis dar sunku įvertinti, tačiau yra didelė tikimybė, kad jūsų duomenys gali būti „kolekcijose“. Tai galite patikrinti naudodami Hasso Plattnerio instituto kūrėjų paskelbtą specialų įrankį. Jame būtina nurodyti el. pašto adresą ir laukti laiško su sąrašu svetainių iš kurių buvo pavogti jūsų prisijungimo duomenys ir viešai paskelbti. Pranešime apie paveiktas paskyras matysite kurie nurodyto el. pašto duomenys paviešinti:
Po to paveiktuose tinklapiuose privalote pakeisti slaptažodį į sudėtingesnį ir, jei įmanoma, įjungti dviejų veiksnių autentifikavimą.