Невідомі хакери виставили на продаж логіни і паролі мільйонів користувачів «ВКонтакте», Twitter, LinkedIn і Tumblr, причому більшість облікових записів належить користувачам з російськомовного інтернет-простору. Чим загрожує масштабний злив для звичайних користувачів і що робити для того, щоб убезпечити свою особисту сторінку, - в матеріалі «Газети.Ru».
Що трапилося?
Кілька невідомих хакерів, яких західні видання (наприклад, Motherboard) називають російськими, послідовно виставили на продаж в даркнета спочатку величезну базу облікових записів LinkedIn і Tumblr, а потім «ВКонтакте» і Twitter.
Чиї паролі вкрадені?
За даними самого хакера, йому вдалося заволодіти такими даними:
Перевірити, чи потрапив ваш особистий пароль від одного з чотирьох сервісів в базу, можна на сайті LeakedSource або Have I been pwned. Наприклад, у кореспондента «Газети.Ru» витекли в мережу застарілі паролі від сервісів «ВКонтакте» і Tumblr.
Як хакерам вдалося зламати відразу кілька соцмереж?
Простіше кажучи, хакери цілеспрямовано розсилали фішингові листи і заражали комп'ютери користувачів мережі або ж за допомогою підставних сайтів змушували ввести логін і пароль.
На те, що зловмисники не застосовували ніяких високотехнічних навичок, вказує і сам вид баз даних. Логіни і паролі в них містяться у вигляді простого тексту, а це значить, що вони або були перехоплені, або підібрані вручну. Ймовірно, хакери займалися подібними діями кілька років.
Як соцмережі відреагували на настільки великий витік?
Журналісти видання Motherboard, яким вдалося отримати доступ до частини хакерської бази даних, перевірили кілька облікових записів, і в більшості випадків вони виявилися вірними.
На прикладі витекла бази даних у «ВКонтакте» виявилося, що найпопулярнішим паролем досі є комбінація «123456» - з 100 млн облікових записів вона зустрічається 709 тис. Разів. Часто використовуваними також є «qwerty», «123123» та «qwertyuiop».
Тому для кращого захисту пароль повинен містити як мінімум букви в різному регістрі і цифри. Ще краще, якщо це не буде перегукуватися з прізвищем, ім'ям та логіном.
Крім того, необхідно використовувати різні паролі для різних облікових записів, причому бажано, щоб паролі розрізнялися на одну букву. В ідеалі слід використовувати пароль, згенерований випадковим чином. Для цього існує кілька спеціальних сервісів, які створюють комбінації різного ступеня складності.
Використання в якості «другого рубежу» саме SMS-повідомлень є найбільш простим і поширеним способом, хоча код може бути відправлений поштою, у вигляді голосового повідомлення або ж взагалі з використанням окремого пристрою, що зчитує біометричні дані - голос, сітківку ока, відбиток пальця.