Počátkem měsíce vám možná taky přišel e-mail, že vaše data byla součástí 1,3 miliardy uniklých hesel, které se podařilo sesbírat výzkumníkovi ze společnosti Synthient. Tedy pokud jste se někdy přihlásili na službě HaveIBeenPwned.com, kterou provozuje Troy Hunt. Ať už jste tuto službu používali, nebo jste o ní slyšeli poprvé, stojí za to si připomenout, co únik vlastně znamená — a jak na něj správně reagovat.
Co je Have I Been Pwned a proč mu můžete důvěřovat
HaveIBeenPwned (HIBP) je veřejně dostupná služba, která umožňuje ověřit, zda se vaše e-mailová adresa nebo heslo objevilo v některém ze známých úniků dat. Provozuje ji bezpečnostní expert Troy Hunt, který shromažďuje veřejně rozšířené databáze úniků a umožňuje lidem:
- zjistit, zda jejich přihlašovací údaje unikly,
- dostávat upozornění na nové úniky,
- ověřit si bezpečnost hesel pomocí funkce Pwned Passwords.
HIBP je dlouhodobě vnímán jako důvěryhodná a transparentní služba. Neuchovává vaše hesla — pokud využijete ověření hesla, probíhá přes tzv. k-anonymitu, takže vaše heslo nikdy neopustí váš počítač v čitelné podobě.
Kde se vzala uniklá data: stealer logy a combo listy
Zveřejněná databáze nevznikla tradičním „hacknutím“ jediné služby.
Jde o masivní sbírku dat z tzv. stealer logů a combo listů:
Stealer logy
Stealery jsou škodlivé programy, které se po infekci počítače pokoušejí ukrást uložené informace:
- hesla uložená v prohlížeči,
- cookies,
- údaje z automatického vyplňování,
Tyto logy si útočníci mezi sebou prodávají a sdílejí – často ve velkém.
Combo listy
Combo listy jsou soubory, ve kterých jsou poskládány dvojice e-mail : heslo z různých úniků.
Útočníci je používají k tzv. credential stuffing útokům – tedy k pokusům automaticky se přihlásit do různých služeb se stejnými přihlašovacími údaji.
Tato „mega sbírka“ 1,3 miliardy záznamů je tedy spíš surový obsah z mnoha menších incidentů, ne nový masivní hack. I tak je to ale důležitý signál, pokud se v ní vaše data objevila.
Jak se zachovat, pokud vás únik postihl
Pokud jste obdrželi upozornění, postupujte takto:
1. Nepanikařit
Únik neznamená, že vám někdo právě teď hackuje účet. Znamená to ale, že je čas zkontrolovat zabezpečení.
2. Používejte správce hesel
Správce hesel vám umožní:
- vytvářet silná unikátní hesla,
- upozornit na jejich únik,
- ukládat je bezpečně mimo prohlížeč.
Pokud hesla ukládáte v prohlížeči, stealer logy je mohou snadno ukrást.
3. Aktivujte 2FA/MFA všude, kde to jde
Dvoufaktorové ověření (SMS, appka, FIDO klíč) výrazně snižuje riziko převzetí účtu.
I když útočník zná vaše heslo, bez druhého faktoru se přihlásit nedokáže. SMS je z uvdených možností nejméně bezpečná varianta, ale pořád je mnohonásobně lepší než mít samotné heslo.
4. Změňte hesla, která opakujete
Pokud používáte stejné heslo na více službách (nebo jeho slabé varianty), změňte je jako první.
Credential stuffing je nejčastější způsob, jak útočník zneužije uniklé údaje.
5. Zkontrolujte, zda se neobjevují podezřelé přihlášení
U služeb jako Google, Microsoft, Facebook nebo emailových poskytovatelů si projděte historii přihlášení a aktivních relací.