Содержание
- Трой Хант, создатель Pwned, объявил о взломе данных в Коллекции № 1.
- Коллекция файлов содержит миллионы скомпрометированных адресов электронной почты и паролей.
- Скомпрометированные данные предположительно поступают из 2000 баз данных.
В настоящее время утечка данных стала настолько распространенной, что мы почти оцепенели. Тем не менее, исследователь безопасности и создатель I Iwen Pwned Трой Хант (Troy Hunt) только что сообщил о взломе данных, который надолго повредит: Сборник № 1.
Коллекция # 1 - это массивный файл, который недавно был загружен в облачное хранилище Mega. Файл содержит 12 000 отдельных файлов, которые содержат 87 ГБ данных.
Что в данных, спросите вы? 772 904 991 уникальных адресов электронной почты и 21 222 975 уникальных паролей. Существенной проблемой являются украденные пароли, взломавшие защитное хеширование. Вот почему пароли отображаются в виде обычного текста, а не криптографически хешируются при взломе веб-сайтов.
Теперь по электронной почте 768 253 человека, которые подписались на уведомления, и еще 39 923, которые отслеживают домены ...
- Трой Хант (@troyhunt) 16 января 2019 года
Эти взломанные пароли допускают вторую проблему - практику, называемую заполнением учетных данных. Заполнение учетными данными - это когда нарушенные комбинации имени пользователя или электронной почты / пароля используются для входа в чужой аккаунт. Злоумышленникам не нужно взламывать пароли или угадывать пароли - они могут просто автоматизировать вход в систему.
Заполнение учетными данными особенно актуально для тех, кто использует одно и то же имя пользователя и пароль на разных сайтах.
Так уж получилось, что Коллекция № 1 содержит почти 2,7 миллиарда комбинаций. Так уж получилось, что примерно 140 миллионов адресов электронной почты и 10 миллионов паролей из Коллекции № 1 являются новыми для базы данных «Я был продан».
Давайте также не будем забывать о децентрализованном характере Коллекции № 1. Предыдущие нарушения обычно имели общую серебряную накладку: каждое нарушение могло быть привязано к одному веб-сайту. Не так с этим нарушением, которое включает нарушения в 2000 базах данных.
В этом случае единственная возможная серебряная подкладка заключается в том, что Хант не знает, является ли каждое нарушение в Коллекции № 1 законным. Тем не менее, Хант также сказал, что это «самое большое нарушение, когда-либо загружаемое в HIBP».
Что мне делать?
Сначала перейдите к разделу «Я был забит» и введите свой адрес электронной почты. Сайт сообщает, была ли взломана учетная запись, использующая этот адрес электронной почты.
Если вы уже использовали «Я был забит», вы должны были получить уведомление о нарушении. Почти половина пользователей сайта попала в зону нарушения, поэтому имейте это в виду, если вы являетесь участником.
Оттуда, нажмитеПароли вкладка в верхней части я был Pwned. Pwned Passwords позволяет узнать, был ли взломан ваш пароль, и помогает использовать надежные пароли.
Если у вас есть скомпрометированный адрес электронной почты и скомпрометированные пароли, пришло время очистить ваши методы паролей. Если сайт поддерживает это, используйте двухфакторную аутентификацию. Это может быть небезопасно, но двухфакторная проверка подлинности помогает отговорить большинство пользователей, которым может потребоваться доступ к вашей учетной записи.
Вы также можете избежать использования одного и того же пароля на нескольких сайтах. Для удобства заманчиво использовать один и тот же пароль, но практика - это опасный обоюдоострый меч.
Наконец, используйте менеджер паролей. 1Password, Dashlane и LastPass - три наиболее популярных варианта, хотя вы также можете использовать проверенный метод пера и бумаги.
Да, и измени свой пароль. Определенно измените свой пароль. Сделайте это чем-то сложным, чем-то, чего нет в словаре.
