Milióny až miliardy používateľov internetu sú v ohrození. Výskumníci z Cybernews totiž odhalili rekordne objemnú zbierku hesiel, ktorá sa šíri na hackerských fórach. Tvrdia, že táto zbierka predstavuje vážnu hrozbu predovšetkým pre tých, ktorí pri svojich online kontách používajú dokola jedno a to isté heslo.
Výskumný tím zistil, že novo odhalená zbierka obsahuje takmer 10 miliárd hesiel (9 948 575 739), a to v bežnom testovom formáte (.txt). Súbor nesie názov rockyou2024 a na hackerské fóra bol nahraný používateľom s prezývkou ObamaCare. Stalo sa tak začiatkom tohto mesiaca, presnejšie 4. júla.
Tento používateľ sa mal na fóra registrovať len koncom mája 2024. Už predtým však údajne zdieľal viaceré citlivé databázy, napríklad ohľadne zamestnancov právnickej firmy Simmons & Simmons či vedenia online kasína AskGamblers. Zverejnil dokonca aj údaje z prihlášok študentov na univerzitu Rowan College v Burlinghton County.
Výskumníci porovnali heslá obsiahnuté v súbore rockyou2024 s údajmi poskytnutými nástrojom Leaked Password Checker. Zistili, že únik je akousi zmesou starších a novších únikov. Aspoň vo väčšine prípadov však má ísť o skutočné heslá používateľov z celého sveta, čo podľa odborníkov podstatne zvyšuje riziko útokov typu credential stuffing.
Čo je credential stuffing?
Tieto útoky môžu spôsobiť vážne komplikácie, a to ako bežným používateľom, tak aj podnikom. Ako informuje spoločnosť ESET, útoky typu credential stuffing využívajú dáta z databáz uniknutých prihlasovacích údajov. Hackeri sa ich pomocou, ako aj pomocou softvérových robotov a potenciálne ďalších automatizovaných systémov, snažia použiť heslá na získanie prístupu od používateľských účtov na rozličných weboch.
Výsledok úspešného útoku je asi každému jasný – hackeri získajú kompletný prístup k účtu, a teda aj osobným a ďalším údajom uloženým v danom účte. Môže teda dôjsť ku krádeži identity, podvodným transakciám, ako aj k šíreniu spamu.
Hrozivá aktualizácia
Stojí za zmienku, že súbor rockoyou2024 nie je prvý svojho druhu. Pred tromi rokmi odborníci z Cybernews informovali o súbore rockyou2021, ktorý obsahoval 8,4 miliardy uniknutých hesiel. V poslednej aktualizácii tak bola databáza rozšírená o približne 1,5 miliardy hesiel.
Kompilácia rockyou2021 predstavovala rozšírenie zoznamu uniknutých hesiel z roku 2009, ktorý v tom čase obsahoval desiatky miliónov hesiel od účtov používateľov sociálnych sietí. Pokiaľ ide o rockyou2024, táto kompilácia má obsahovať informácie zozbierané za posledné dve dekády, a to z viac ako 4 000 databáz.
Výskumníci sa domnievajú, že útočníci môžu využiť najnovšiu kompiláciu na realizáciu cielených útokov na akýkoľvek systém, ktorý nie je vybavený dostatočne odolným bezpečnostným systémom. V ohrození môžu byť online aj offline služby, ako aj kamery s prístupom na internet či priemyselný hardvér.
Ako sa chrániť?
Žiaľ, neexistuje jednotná metóda, ktorá by poskytla zaručenú ochranu pred hackermi. Existuje však niekoľko krokov, ktoré môžu aspoň trochu pomôcť.
Ako bolo spomenuté vyššie, hackerské databázy hesiel predstavujú hrozbu najmä pre tých, ktorí používajú jedno a to isté heslo pri viacerých, v horšom prípade všetkých účtoch. Preto radšej používajte rôzne heslá. Ideálnym scenárom bude, ak každé konto zabezpečíte iným heslom. To sa síce môže spočiatku ťažko pamätať, no vždy si ich môžete zapísať napríklad do notesu, ktorý si uschováte niekam do bezpečia.
Na škodu taktiež nebude heslá priebežne aktualizovať, resp. meniť. Nech máte akokoľvek silné heslo, ak sa k nemu dostanú hackeri, ste vystavení vážnym rizikám. Okrem toho môže k lepšej bezpečnosti pomôcť zapnutie dodatočných vrstiev ochrany, ak to teda daná služba umožňuje. Veľmi obľúbenou možnosťou je dvojfaktorová autentifikácia, ktorá okrem hesla požaduje aj udelenie povolenia z vybraného zariadenia, prípadne zadanie jednorazového kódu zaslaného na vopred priradenú e-mailovú adresu.
