Произошла крупнейшая в истории утечка паролей. Под ударом все пользователи интернета
В свободном доступе в Интернете оказался файл с 8,2 млрд паролей. Это больше всего населения Земли и почти вдвое больше суммарного количества пользователей интернета. Вероятность взлома при помощи этого файла тем выше, чем чаще конкретный пользователь использует один и тот же пароль в разных сервисах.
Утечка тысячелетия
Хакеры выложили в открытый доступ файл с более чем 8 млрд паролей. По информации профильного портала CyberNews, документ имеет объем около 100 ГБ и содержит свыше 8,459 млрд строчек, каждая из которых – это отдельный пароль. Это крупнейшая утечка паролей в истории человечества.
Распространение файла началось с неназванного хакерского форума. В Сеть его выложил пользователь под псевдонимом RockYou2021, и сам файл называется так же. Возможно, это отсылка к утечке RockYou, произошедшей в 2009 г.
12 лет назад файл RockYou тоже содержал скомпрометированные пароли, но их в нем было приблизительно в 262 раза меньше. Он насчитывал 32 млн строк.
Утечка может затронуть каждого пользователя интернета, в особенности тех, кто использует простые пароли
По заявлениям самого RockYou2021, в одноименном файле содержатся 82 млрд паролей. Тем не менее, специалисты CyberNews, получившие к нему доступ, заявляют о наличии именно 8,459 млрд записей. В их числе простые и сложные пароли длиной от 6 до 20 символов, включая сложные комбинации букв, цифр и символов.
Насколько опасна утечка
По данным портала Worldometer, население Земли на момент публикации материала превышало 7,87 млрд человек. Таким образом, количество утекших паролей превышает суммарное число жителей планеты.
Согласно подсчетам CyberNews, количество интернет-пользователей во всем мире находится в пределах 4,9 млрд человек. Исходя из этого, вероятность обнаружить пароль в списке высока.
Малая часть архива RockYou2021
Появление в свободном доступе файла RockYou2021 может нанести значительный ущерб приватности пользователей. Киберпреступники, к примеру, могут комбинировать 8,4 млрд уникальных вариантов паролей из этого файла другими данными из подобных баз, утекших ранее. Это могут быть, к примеру, базы с адресами электронной почты. Также этот файл может быть использован для создания так называемых «словарей паролей», упрощающих проведение брутфорс-атак (взлом аккаунтов при помощи специального ПО методом перебора паролей.
Вероятность стать жертвой взлома, при осуществлении которого использовался файл RockYou2021 в ряде случаев может быть высокой. В зоне повышенного риска пользователи, использующие один и тот же пароль для самых разных сервисов. По оценке CyberNews, с несанкционированным доступом к профилям могут столкнуться миллиарды пользователей.
Как защититься от взлома
Снизить вероятность взлома аккаунтов после утечки RockYou2021 можно в первую очередь путем смены паролей. Лучше всего использовать сложные комбинации, применять разные пароли для разных сервисов и хранить их в офлайновом менеджере паролей.
Специалисты CyberNews также рекомендуют использовать двухфакторную авторизацию во всех сервисах, где она доступна. Как правило, владельцы веб-сервисов реализуют ее в виде кода подтверждения, отправляемого на заранее указанные электронную почту или номер телефона.
Пароли сливают в Сеть миллиардами
Специалисты портала CyberNews и специализирующегося на информационной безопасности онлайн-издания BoyGeniusReport считают RockYou2021 самой крупной утечкой паролей за всю историю существования цивилизации. Однако предыдущий рекорд был установлен сравнительно недавно – в первых числах февраля 2021 г.
По информации BoyGeniusReport, тогда в Сеть попали 3,2 млрд связок логин/пароль почтовых адресов пользователей сервисов Gmail и Hotmail. Этот файл с паролями представляет собой объединенную базу с данными, полученными в результате множества предыдущих утечек.
Как выбрать удобную CRM: 6 критериев
Все эти пароли в разное время были украдены в результате атак на различные сервисы. Издание привело в пример адаптированный для России в октябре 2020 г. стриминговый сервис Netflix и, наоборот, заблокированную в России соцсеть LinkedIn (принадлежит Microsoft).
LinkedIn и раньше фигурировала в топах утечек паролей. Так, в ноябре 2019 г. CNews рассказывал, что неизвестные выложили в интернет базу с 1,2 млрд паролей. Тогда под удар попали пользователи соцсетей Facebook, LinkedIn и Twitter.
Что немаловажно, эта база с паролями отличается от файла RockYou2021. Последний «весит» 100 ГБ и представляет собой просто сборник паролей, тогда как ноябрьская база имеет объем 4 ГБ. Автор тщательно структурировал все данные, рассортировал и скомпоновал их для удобства тех, в чьи руки она попадет.
7 сервисов для проверки аккаунтов на утечки и взломы
А вы уверены в безопасности своего аккаунта или пароля? Они никогда не подвергались утечкам или взломам?
Чтобы в этом убедиться воспользуйтесь специальными сервисами. Быть может ваш сложный и уникальный пароль уже стал достоянием общественности.
Have I been pwned?
Одним из самых известных сервисов для проверки аккаунтов на утечки является Have I Been Pwned. Сайт был создан после одной из крупнейших утечек клиентских аккаунтов в истории – в октябре 2013 года были украдены данные 153 миллионов учетных записей Adobe. Have I been pwned представляет собой реверсивную поисковую систему, которая проверяет наличие вашей электронной почты или пароли в огромной базе данных взломанных паролей. Просто введите свой адрес почты или пароли, и сервис покажет, фигурировали ли ваши данные в известных утечках.
Firefox Monitor
В 2018 году организация Mozilla запустила свой собственный сервис Firefox Monitor для проверки учетных данных на утечки. Вы можете просто использовать поиск по базе данных взломанных паролей или зарегистрироваться, чтобы получать предупреждения при появлении информации о новой утечки. Нарушения конфиденциальности данных происходят, когда личная информация раскрывается, перехватывается или копируется без вашего разрешения. Подобные инциденты безопасности могут быть результатом кибератак на сайты, сервисы и приложения, которые хранят пользовательские данные.
DeHashed
DeHashed – сервис поиска по базе взломанных и украденных персональных данных, который создан для экспертов по безопасности, журналистов, технологических компаний, а также для обычных пользователей, которые хотят защитить свои аккаунты и своевременно узнавать об утечках.
В DeHashed вы можете выполнять поиск по IP-адресам, адресам электронной почты, логинам, телефонным номерам, VIN номерам, домашним адресам др. Сервис предлагает реверсивный поиск по паролями, хеш-суммам и другим типам данных.
GhostProject
GhostProject.fr – бесплатный поиск по базе из 1,4 миллионах скомпрометированных учетных данных. База постоянно обновляется и пополняется новыми данными. Чтобы защитить себя, сервис рекомендует отказаться от повторяющихся паролей и использовать только сложные пароли для различных аккаунтов. По возможности следует использовать специализированные приложения, такие как KeePass и включить двухфакторную аутентификацию.
Password Checkup от Google
В феврале 2019 года компания Google выпустила расширение под названием Password Checkup. Оно уведомляло пользователей о том, что их учетные данные от какого-либо сайта фигурировали в инцидентах со взломом или утечкой данных. Логины и пароли проверялись в базе данных из 4 миллионов известных взломанных учетных данных. В октябре Google представила инструмент Проверка паролей для аккаунтов Google. Начиная с Chrome 79 данный функционал встроен непосредственно в браузере, что делает расширение неактуальным.
Теперь, при входе в свою учетную запись на сайте, Chrome будет отправлять хешированную по SHA256 копию учетных данных в Google. Данные будут зашифрованы с использованием секретного ключа (даже Google не сможет просматривать ваши логины и пароли). Google будет использовать несколько уровней шифрования с помощью техники Private Set Intersection (PSI) для сравнения вашего логина и пароля со взломанными учетными данными, которые в свою очередь хранятся в зашифрованном виде. Если пароль или логин были украдены, то Chrome предложит изменить пароль.
Включить или отключить данную функцию можно в настройках Chrome в разделе Конфиденциальность и безопасность > Безопасность ( chrome://settings/security ) с помощью переключателя Сообщать, если пароли были раскрыты в результате утечки данных.
BreachAlarm
BreachAlarm является одним из главных конкурентов Have I Been Pwned. Сервис позволяет проверять электронную почту на утечки бесплатно, а на платной основе вы можете подключить автоматическое оповещение об утечках и дополнительные услуги.
Цена в 30 долларов в год будет адекватной для владельцев коммерческих аккаунтов, малого бизнеса или большой семьи. Никаких ограничений на проверку данных для подписчиков не предусмотрено.
Sucuri Security Scanner
Sucuri Security Scanner использует свои собственный подход – сервис позволяет проверять целые сайты на различные уязвимости, наличие в черных списках и на хакерские атаки. Это идеальный инструмент для блогеров и онлайн-бизнеса. Его лучше использовать совместно с другими сайтами по проверки аккаунтов на утечки.
Как работают подобные сайты
Сервисы поиска взломанных логинов и паролей, как правило, обрабатывают информацию из других источников, которые используются для обмена украденной информацией. В качестве таких источников выступают Pastebin, специализированные форумы, ресурсы в Даркнете и другие популярные среди хакеров площадки. Сервисы проверки используют эту информацию в благородных целях – чтобы предупредить пользователя об утечках и порекомендовать ему изменить логин и пароль.
К сожалению, в сети можно найти несколько мошеннических сайтов, которые просто собирают вашу электронную почту и пароли для будущих попыток взломов. Используя непроверенный инструмент, вы подвергаете свои данные дополнительным рискам, что может привести еще к более серьезным нарушениям данных.
К примеру, в мае 2016 года завершил существование сервис PwnedList, который предлагал проверить наличие своих данных в огромной базе скомпрометированных данных, насчитывающей сведения о более 866 миллионах аккаунтов. Как оказалось, сервис имел серьезные уязвимости, позволяющие киберпреступниками выполнять мониторинг новых утечек для любого домена.
А какими сервисами пользуетесь вы?
Как узнать, не утекли ли ваши пароли в сеть
У активного пользователя интернета могут быть десятки и сотни учетных записей. Какие-то из них не содержат ничего важного, а какие-то хранят паспортные данные, платежную информацию или даже документы. Какими бы надежными ни казались интернет-сервисы, от массовых взломов и утечек не застрахован никто. Так, например, недавно в сеть попали данные 20 миллионов пользователей VPN-сервисов.
Рекомендации в таких случаях всегда одни и те же: сменить пароль и не использовать одинаковые комбинации на разных ресурсах. Использовать один пароль на нескольких сайтах — идея крайне плохая. В случае утечки злоумышленники смогут получить доступ и к другим вашим аккаунтам. Используйте менеджер паролей или другие способы для запоминания и хранения.
К сожалению, зачастую компании объявляют о взломах и утечках спустя много времени после того, как они произошли. Данные уже находятся в открытом доступе. Чтобы своевременно узнавать об утечках и принимать необходимые меры, воспользуйтесь несколькими простыми способами.
Cайт haveibeenpwned.com
Самый простой способ — проверить логин или пароль на сайте haveibeenpwned.com . Первым делом следует проверить адрес электронной почты, так как именно он часто и служит логином.
В нашем случае сервис показал сразу 4 сайта, на которых произошли утечки. Ничего серьезного: мобильная игра, тематический форум и пара музыкальных сайтов, которыми толком и не пришлось пользоваться. Беспокоиться не о чем, но пароли все же надо сменить.
На сайте есть возможность проверить не только логин, но и пароль. Если же вы не хотите «светить» такие важные данные на стороннем ресурсе, то есть и другой вариант. Можно просто скачать базу и сверить данные локально. Сами пароли в базе хранятся в виде хеш-суммы, по которой и можно провести сверку. Кроме того, эту же базу можно использовать для автоматической проверки ваших паролей, хранящихся в популярном менеджере KeePass.
Если с английским у вас проблемы, то проще воспользоваться аналогичным сайтом monitor.firefox.com , который доступен на русском языке. Он использует ту же самую базу, поэтому результаты выдачи идентичны.
Также вы можете подписаться на уведомления о будущих взломах. Когда данные, затрагивающие ваш адрес электронной почты, появятся в базе, придет уведомление. Для этого нажмите на кнопку «Уведомляйте меня о новых утечках». Понадобится войти в аккаунт Firefox или создать новый.
Кроме того, вы можете отметить утечки, как решенные. Это удобно, так как если вы уже сменили пароль, утечка не будет беспокоить вас каждый раз при новой проверке.
Сервисы Google
Если вы пользуетесь браузером Chrome, то наверняка сохраняете пароли в аккаунте Google. Каждый раз, когда вы входите на сайт, браузер предлагает сохранить учетные данные. В этом случае в правом верхнем углу выскакивает окошко. Не путайте это с сохранением логина и пароля, когда вы просто не вышли из аккаунта.
Диспетчер паролей Google — это полноценный менеджер паролей, который не только хранит ваши данные, но и проверяет их безопасность.
Перейдите на страницу менеджера паролей и нажмите на ссылку «Перейти на страницу проверки паролей». Далее вы увидите список всех сохраненных паролей, которые будут проверены по трем пунктам: утечки, уникальность и надежность. Если по какому-то из пунктов есть проблемы, то это отобразится на экране.
Это тоже интересно:
- Зачем кладут смартфоны в холодильник
- Почему лучше не оставлять чеки на кассе
- Как выглядят SMS, которые нельзя хранить в телефоне (фото)
В интернете произошла крупнейшая в истории утечка паролей
На популярном хакерском форуме опубликован файл, содержащий 82 млрд паролей, из них почти 8,5 млрд — уникальные, сообщает издание CyberNews.com.
Автор файла назвал утечку RockYou2021, в честь знаменитой утечки RockYou 2009 года — тогда хакерам удалось заполучить пароли более 32 млн пользователей.
База не содержит адресов и никнеймов, но ее можно использовать для взломов методом перебора
Файл под названием RockYou2021.txt содержит только пароли, но там нет любых других чувствительных данных — никнеймы, email и т. д., говорит Олег Деров, Threat Intelligence-аналитик Group-IB. По его словам, это нельзя назвать утечкой в привычном понимании, поскольку сам файл содержит лишь список утекших паролей — вся информация находилась в публичном доступе долгое время. «Однако основная опасность для пользователей заключается в том, что при помощи такого большого словаря паролей злоумышленники смогут «взламывать» пароли из других утечек», — подчеркивает Деров.
Такие базы используются для перебора паролей. Но само по себе выкладывание файла, в котором миллиарды паролей, еще не говорит о том, что грядет волна взломов, так как многие сервисы защищаются от перебора паролей тайм-аутами или капчей после нескольких неверных попыток, успокаивает Евгений Волошин, директор блока экспертных сервисов BI.ZONE. «Похожие подборки парольных листов выкладываются довольно регулярно», — замечает он.
Как защитить свой аккаунт
Пароли рекомендуется менять хотя бы раз в полгода, вне зависимости от того, произошла ли какая-то утечка, говорит Игорь Бедеров, эксперт инжинирингового центра SafeNet Национальной технологической инициативы. «Также можно порекомендовать не хранить пароли в настройках браузера, а использовать для этого внешние менеджеры паролей. Это уменьшит риски хищения паролей, поскольку различные вредоносные ресурсы не смогут получить доступ к вашим сервисам, анализируя cookie (фрагмент данных, отправляемых веб-сервисом, который хранится на компьютере. — Прим. ред. «РГ»), хранящиеся у вас в браузере».
Для того, чтобы посмотреть, был ли ваш пароль скомпрометирован, существуют специальные ресурсы, например haveibeenpwned.com и leakcheck.io, добавляет специалист. «Большинство сайтов и ИТ-компании, такие как Google и Apple, регулярно проверяют все возможные утечки паролей, чтобы иметь возможность подсказать пользователям, попадал ли их пароль в общий доступ и нужно ли его срочно поменять», — заключает Бедеров.
Руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева предупреждает, что к сервисам проверки паролей следует относиться настороженно. «Если ваши данные стали доступны злоумышленникам, то сначала обязательно стоит поменять пароль в сервисе, данные которого были скомпрометированы. А затем вспомнить сайты и сервисы, где был использован тот же самый пароль, и сменить его уже там. Это необходимо сделать, так как злоумышленники часто используют украденные учетные данные для пополнения баз паролей, с помощью которых взламывают учетные записи различных сервисов. Рекомендую использовать разные пароли для доступа к разным сервисам», — говорит она.