18:53
18/1/2019

Na jednym z hackerskich for internetowych pojawiła się oferta sprzedaży bazy, która zawiera 773 miliony adresów e-mail i 21 milionów haseł pochodzących z ponad 2000 serwisów (także polskich). Wieczysty dostęp do tej bazy, którą media nazywają “Collection #1“, wraz z regularnymi aktualizacjami kosztuje jedynie 45 dolarów…

Skąd pochodzą dane?

Dane z baz różnych firmy wyciekały, wyciekają i będą wyciekać. Są ludzie, którzy się włamują i wykradają dane, są tacy którzy je potem przeglądają i sprzedają i są też tacy, którzy “kolekcjonują” wykradzione bazy danych, a potem się nimi wymieniają lub ponownie odsprzedają. Wystawiona na sprzedaż lista Collection #1, o której “sensacyjnie” piszą różne media “waży” 87GB i składa się tak naprawdę z wielu wycieków, z których znaczna część (ponad 75%) była już opublikowana w internecie:

W menu po lewej widać, z czego składa się Collection 1. Fot. Brian Krebs

Co więcej, Collection #1 to tylko jedna z tzw. mega-list, czyli kompilacji wielu różnych wycieków. Takich mega list jest zdecydowanie więcej! Łącznie na sprzedaż wystawiono blisko 1TB danych, a podobno sprzedawca ukrywający się pod pseudonimem sanixer ma jeszcze dodatkowe 3TB danych, niewystawione na sprzedaż. Oto pełne ogłoszenie:

Są jednak i inni sprzedawcy, o których media nie wspominają (i którzy nie mają nic wspólnego z tym wyciekiem). Oto baza jednego z nich, na którą — jak widzicie po znacznikach czasowych — natknęliśmy się całkiem niedawno:

Warto tu podkreślić, że w takich paczkach dane pochodzą nie tylko z włamań. Czasem są to po zcrawlowane z publicznie dostępnych adresów dane osobowe (głównie e-maile, adresy, telefony) (por. Czy locatefamily.com ma już Twoje dane?). Wystarczy, że ktoś po zakupie w sklepie internetowym zauważy, że link do jego faktury to https://sklep.pl/faktura_0282772.pdf i postanowi sprawdzić inne numerki w URL-u. Bum! Po kilkudziesięciu minutach ma listę danych teleadresowych prawie 300 tysięcy klientów tego sklepu (por. Wykradanie danych z rządowego serwisu Ksiąg Wieczystych, Wyciek danych klientów IBOOD, Banku Millenium oraz sklepu Komputronik)

Ważne jest, aby wiedzieć, jakie konkretnie nasze dane pojawiają się w danym “wycieku”. Czy jest to tylko adres e-mail, czy także hasło, a jeśli hasło, to z jakiego serwisu ono wyciekło. Należy założyć, że wszystkie nasze dane znajdujące się w tym serwisie są już “publicznie dostępne”, nawet jeśli były to “prywatne chaty”.

Dane z 2000+ serwisów

Skupmy się teraz na zwartości megalisty “Collection #1”, bo o niej najwięcej wiadomo. Wiemy już, że nie jest to ani “największy wyciek”, ani w ogóle coś spektakularnego, a ponieważ te dane już od dawna krążyły pomiędzy różnymi grupami, to jeśli ktoś miał Was dojechać, to prawdopodobnie już to nastąpiło. Mieliście ostatnio informacje o nieudanych próbach logowania, albo niespodziewanie przychodzące SMS-ami od różnych serwisów “kody” służące do logowania?

To z jakich serwisów pochodzą dane w Collection #1, możecie sprawdzić tutaj. Dla ułatwienia wypisujemy z tej listy wszystkie serwisy z polskich domen:

81288 Okt 11 2017 cad-akademia.pl {1.494} [HASH].txt
2679593 Feb 17 2018 fotografia.interklasa.pl {52.040} [HASH].txt
1098267 Mai 12 2018 gmina.e-sochaczew.pl {20.473} [HASH] [NOHASH].txt
7178520 Nov 25 2017 iceneo.pl {135.700} [HASH].txt
48546 Jun 3 2018 jest-lirycznie.pl {1.714} [NOHASH].txt
197313 Mär 25 2018 mojetesty.pl {6.865} [NOHASH].txt
618125 Okt 1 2017 nieruchomoscikwiatkowski.pl {11.221} [HASH].txt
606600 Jun 11 2018 rapido.com.pl {19.110} [NOHASH].txt
149409 Mär 10 2018 skaner.p.lodz.pl {2.575} [HASH].txt
4798114 Okt 14 2017 www.centrumdruku.com.pl {107.430} [HASH] [LOGIN_PWD].txt
119714 Mär 13 2018 www.djembe.pl {2.115} [HASH].txt
1112784 Nov 18 2017 www.eis.com.pl {21.441} [HASH].txt
84820 Dez 11 2017 www.ekonomicznie.pl {1.611} [HASH].txt
146293 Nov 29 2017 www.teatrgombrowicza.art.pl {2.800} [HASH].txt

Jak widzicie, nie są to jakieś superwartościowe serwisy. Czy w takim razie jest się czego obawiać? Tak, ale tylko jeśli ktoś korzystał z tego samego hasła także do bardziej wartościowych serwisów, takich jak:

  • Facebook, Twitter i inne serwisy społecznościowe,
  • Netflix, Spotify, Uber i inne płatne usługi online
  • PayPal, Skrill i inne portmonetki
  • czy przede wszystkim skrzynka e-mail

Jeśli jeszcze gdzieś miałeś takie samo hasło…

Osoby, które zakupią dostęp do listy, będą mogli Cię na niej wyszukać po e-mailu, numerze telefonu lub nazwie użytkownika. Czasem obok Twojego rekordu zobaczą hasło, a czasem kilka haseł (w zależności od tego w ilu z zaatakowanych serwisów miałeś konta).

W kolejnym kroku, osoby te, a na tym etapie to już raczej “włamywacze”, wezmą Twoje hasło (hasła) i spróbują się nimi zalogować w bardziej wartościowych serwisach. Twojej skrzynce e-mail, Facebooku, Allegro, PayPal, Netflix, Spotify, Uber, Steam, itp. Jeśli hasło miałeś takie samo — stracisz bardziej wartościowe konto, a czasem także pieniądze.

Dlatego tak istotne jest aby nie korzystać z tego samego hasła do więcej niż jednego serwisu, a najlepiej w ogóle nie myśleć o hasłach i nauczyć się korzystać z Managera Haseł (np. KeePass) który sam zadba o to, abyśmy mieli różne, dobre hasła w każdym z serwisów.

Najmocniej zabezpiecz swoją skrzynkę pocztową

Jeśli mielibyście teraz czas aby zabezpieczyć tylko jeden z serwisów internetowych, to niech będzie to Wasza skrzynka e-mail. To wasze najważniejsze konto, bo jeśli ktoś się do niego dostanie, to nie tylko będzie w stanie wykraść waszą tożsamość (bo na skrzynce macie różne skany umów i dokumentów) ale i wasze dane. I to nie tylko te znajdujące się w e-mailach i załącznikach, ale także te z zewnętrznych usług, np. Dropbox, do których włamywacz uzyska dostęp przez mechanizm “przypomnij hasło“. Zewnętrzne serwisy prześlą przecież link do resetu hasła na kontrolowaną przez włamywacza skrzynkę e-mail. Pisaliśmy już na Niebezpieczniku o takich przypadkach:

Zapamiętajcie:

Jeśli ktoś kontroluje Twojego maila, ma też dostęp do wszystkich pozostałych Twoich kont*, jakie na tego e-maila założyłeś w innych serwisach

Kilka dni temu pisaliśmy, dlaczego dla większości internautów najbezpieczniejszym wyborem będzie skrzynka na GMailu i pokazywaliśmy jak ją poprawnie skonfigurować. Warto przeczytać ten artykuł i wdrożyć zalecenia, niezależnie od tego, czy (już) korzystacie z GMaila.

Włącz 2FA najlepiej jako U2F

Warto też, gdzie się da, włączyć dwuetapowe uwierzytelnienie (tzw. 2FA). Wtedy nie musimy się przejmować tym, że w jakimś wycieku pojawi się nasze hasło. Bo nikt nie pozyska naszych danych z innych naszych kont, gdyż poza znanym mu już hasłem będzie potrzebował także dodatkowego kodu, albo z aplikacji albo SMS-a albo z odpowiedniego urządzenia (jeśli zdecydujemy się skorzystać z najbezpieczniejszego wariantu 2FA, czyli U2F — sprzętowego tokena). I tego właśnie dotyczy * dwa akapity wyżej.

Jak sprawdzić, czy jestem w tym wycieku?

Naprawdę, dla swojego dobra — załóż że jesteś ofiarą wycieku. W jakimś wycieku znajdujesz się na pewno. Może niekoniecznie w tym (Collection #1). Ale nawet jeśli nie ma Cię w tym, to przecież nie masz pewności, że nie jesteś na którejś z pozostałych megalist.

Dlatego zamiast tracić czas na sprawdzanie swoich danych w różnych wyciekach, po prostu zastosuj się do rad podanych powyżej: zacznij korzystać z managera haseł, zabezpiecz skrzynkę e-mail i włącz U2F gdzie się da. Wtedy przyszłe incydenty tego typu nie będą Ci aż tak straszne.

Te 3 rady to jednak nie wszystko, co warto zrobić, aby być bezpieczniejszym w internecie i ochronić się przed kradzieżą swojej tożsamości, danych i pieniędzy. Jeśli chcesz zobaczyć, jak działają hakerzy i dowiedzieć się jak w prosty sposób można przed nimi zabezpieczyć swój smartfon, komputer i konta w serwisach internetowych, to zapraszamy na nasz wykład pt. Jak nie dać się zhackować?.

Każdemu uczestnikowi gwarantujemy opad szczęki, bo w trakcie wykładu na żywo pokazujemy kilka widowiskowych ataków hackerskich — od wysyłania podrobionych e-maili i SMS-ów w czyimś imieniu, przez podglądanie ludzi przez kamerkę aż do podsłuchiwania telefonów. Wykład zrozumie każdy, nawet osoby nietechniczne. Dlatego weźcie ze sobą rodziców! Najbliższe terminy wykładu i miasta (w kolejności alfabetycznej) poniżej:

Jeśli chcesz dołączyć do grona lepiej zabezpieczonych Polaków, to wejściówkę kupisz tutaj.

Przeczytaj także:

68 komentarzy

Dodaj komentarz
  1. Panowie mam pytanie, aktualnie mam maila na Interii i dostaje kupę syfu mimo wykupienia konta premium. Mam też maila na Gmailu z którego korzystam w telefonie z Androidem. Moje pytanie brzmi, czy warto przerzucić się calkiem na tego Gmaila czy lepiej zalozyc nowe konto żeby nie kusić losu?

    • Warto porzucić interię, onet czy wp na rzecz gmail :-)

    • Jeśli Cię stać, i jest to możliwe, a nie jesteś ekologiem, ascetą, minimalistą, to warto mieć kopię wszystkiego. :-) Skrzywienie zawodowe, ale… sprawdza się czasem :-)

    • Wciąż niezbyt rozumiem, dlaczego o2, interia itp, nie mają w płatnej ofercie (dość atrakcyjnej) 2FA, choćby SMS. To zapobiegłoby wielu problemów.

    • hack of the day:
      1. Napisz do Interii. Płacisz, wymagasz.
      2. Ustaw sobie klienta poczty, np Thunderbird, Outlook
      3. W ostateczności połącz konto z Gmailem.
      4. Przejrzyj stopki maili. SPAM tzw legalny posiada na samym dole, pomniejszonym tekstem i ledwo widoczną czcionką informację, że możesz zrezygnować z otrzymywania newstellera.

      P.S. Podejrzewam, że spam nie pochodzi od Interii. Zakładając konta na forach/stronach musisz podać maila oraz potwierdzić regulamin , którym zgadzasz się na przekazanie danych “firmom współpracującym” z właścicielem danej strony. Żeby uniknąć takich sytuacji w przyszłości, załóż sobie osobne konto tzw. spamowe, które będziesz podawał podczas rejestracji na forach/stronach.

      Powodzenia.

    • Nie polecam poczty google bo robi powiązania z usługami google. Lepiej już jakiegoś polskojęzycznego wp – który zapewnia identyczne bezpieczeństwo co google.

    • Na poczcie Interii niestety tak jest i nic z tym nie zrobisz. Ich filtr od SPAM-u to totalna porażka. Nawet samemu nie można zablokować domen, tylko konkretne adresy e-mail.

    • https://niebezpiecznik.pl/post/gmail-najbezpieczniejszy/

      tylko gmail

    • Aguś, ale jak nie wiesz, to się nie wypowiadaj.
      Na wp przychodzi tyle spamu, ile tylko można sobie wyobrazić. Znikąd.
      Interia to samo.
      Wspaniała rada.

    • Patryk – zrób to, co napisał b w pkt. 4 swojego komentarza. Zacznij się wypisywać z tego spamu, a będzie go przychodzić coraz mniej lub wcale (jeśli tak jak napisał b jest to ‘legalny’ spam, z którego mają obowiązek cię wypisać, jeśli takie masz życzenie)

    • Dtn 2019.01.19 23:07
      Jak nie chcesz mieć spamu to:
      -Kupujesz pocztę premium na wp.
      -lub filtrujesz treści
      – lub zakładasz osobne foldery pod określone słowa kluczowe, domeny itd.
      – lub przepuszczasz przez inną pocztę ,która odfiltruje syf:)

      No ale przecież lepiej ponarzekać ,zamiast skorzystać z dostępnych narzędzi:)

    • Ja nie lubie gmaila, miałem kilka kont to draństwo nagle chciało ode mnie weryfikacji że ja to jestem ja, czyli miałem podać numer telefonu. Po co gmailowi mój numer telefonu ? Więc zostawiłem gmaile, i przeniosłem się na inne skrzynki aktualnie yandex. Funkcjonalność taka jak gmail, zero spamu, szyblie działanie, wycinanie ip z nagłówków, dysk, dodatkowo wersja lekka mało obciążająca przeglądarkę, statystyki logowań z ip, także ma 2 stopniowe uwierzytelnienie, interfejs po rosyjsku lub angielski brak polskiego. Co do szpiegowania to co za różnica czy maile czytają ruscy czy jankesi, zawsze ktoś czyta. W razie czego nasze harcerzyki mają trudniej uzyskać tzw, pomoc prawną od yandexa niż od gmaila. Inna fajna skrzynka to czeski seznam też zero spamu, wada to interfejs tylko po czasku (brak angielskiego) ale czeski jest łatwy, Seznam też umożliwia 2 stopniowe logowanie. Polskie darmowe skrzynki są słabe, do niedawna nawet WP w darmowej wersji nie miała całej sesji po https xD za to megabajty spamu o chwilówkach ebutach i ubezpieczeniach. Do zadań specjalnych są inne skrzynki proton, tutanota, itp.

  2. Nie ma to jak sprawdzić nowe maile oraz hasła i odkryć, że nie wyciekły,
    Oraz sprawdzić stare hasło które wyciekło 63 razy XD

    Nie daj się zhakować robi swoje w nauce bezpieczeństwa ;)

  3. Cala ta kolekcja jest również dostepna za friko, jak ktoś wie gdzie patrzeć. Zreszto jest tego sporo więcej :)

    • Gdzie jest dostępna?

    • Fora ra… i cr… gdzie jeszcze to leży? Collection#1 znalazłem dosyć szybko, ale znalezienie pozostałych zajęło mi pół dnia, jestem lamerem ;) Pytam na przyszłość, żeby wiedzieć gdzie zaglądać.

  4. Przepuść maila z interii przez gmaila, wyfiltruje Ci syf a będziesz miał nadal spam kono na interii.

    Po prostu ustaw odbieranie maili z interi w koncie gmail aktualnym.
    Podczas wysyłania maila w kliencie gmail, będziesz wybierał z którego konta akurat masz wysłać.

  5. Dwa tygodnie temu ktoś się logował na moje konto gmail. Na szczęście na smartfonie miałem możliwość zablokowania tego nieautoryzowanego logowania.
    Próba włamu miała być z Kielc (lub okolic) – tak to określiło google.

  6. W ogóle nie rozumiem, po co tylu ludzi ma konta na Interii, WP, VP, O2 itp. – czyli u polskich uslugodawcow. Czyzby przez patriotyzm? Ja od zawsze uzywam kont tylko na Gmailu (i od niedawna dodatkowo na Protonmailu) i zaden spam do mojego komputera nie dociera (a czasem nawet “agresywne” filtry antyspamowe Gmaila kieruja niektore e-maile wprost do SPAM folder = dlatego od czasu do czasu warto “recznie” wejsc do Gmaila online). Normalnie moja poczte Gmail obsluguje na komputerze Thunderbird (pobiera i wysyla z/przez Gmai). Poza tym Gmail oferuje ogromna przestrzen na swoim serwerze ZA DARMO (zadna polska firma takich przestzreni nie oferuje). Ludzie, porzućcie polskie uslugi e-mailowe ZUPEŁNIE!

    • Korzystając z poczty “jak Bóg przykazał w XXI wieku”, czyli przez cokolwiek nowszego niż pop (np. IMAP, EAS) masz dostęp do wszystkich folderów bezpośrednio z klienta poczty. Nie tylko na polskich mailach, na g****mailu, outlooku czy protonie też. Bo taki jest standard. Dodatkowo korzystając z cywilizowanego klienta poczty omijasz najbardziej upierdliwą cechę g****maila, czyli domyślne degradowanie adresatów maila przy korzystaniu z “odpowiedz wszystkim” do roli marnego DW.
      A co do polskich usługodawców – niektórzy na serio mają dobre i dobrze zabezpieczone skrzynki, choć najczęściej właśnie płatne – a jak ktoś już płaci za domenę, to postawienie i odpowiednia konfiguracja swojego Postfixa czy też – jak się jest studentem i ma się Dreamsparka – Exchange Servera – daje dużo większą wygodę w kształtowaniu tego, co i w jaki sposób ma do ciebie dochodzić, a do tego można nawet nie instalować webmaila jak się nie potrzebuje – plus twoje wiadomości nie przechodzą przez PRISM czy inny Echelon, dopóki nie trafią do amerykańskich providerów ;)

    • Pieprzysz głupoty. WP ma pojemność bez limitów, a gmail to tylko 15 GiB współdzielone z innymi usługami. WP ma wieksze załączniki (chyba 100MiB). Głupio?

    • No i spam dochodzący do odbiorczej, nie do wyfiltrowania na wbudowanym w pocztę z WP antyspamie -.-

    • Wlodek – dlaczego chcesz narzucać innym, z jakiej poczty mają korzystać? Korzystasz z Gmaila to korzystaj, ale nie mów innym co mają robić :)
      A na WP przy koncie płatnym (coś chyba około 33 zł na rok) da się wyeliminować bardzo dużo spamu, tylko trzeba chwilę czasu poświęcić na wypisanie się z tych wszystkich list, na których jest nasz adres e-mail.

    • Moje konto na WP jest głównie przez to, że jestem ponad żebranie o zaproszenia. A onet nigdy mi sie ie podobał.

    • co to za patryjotyzm jak te serwisy sa niemieckie? :) chyba, uber alles

      Polecam PM.me, gmail i yandex. Ale Gmail przy kazdym nowym PC nie pozwala sie zalogowac. Czy zalozyc konta bez podania tel (do tego polecam sima z kievstar)

      Niema jak placic za skrzynke :D najlepiej kredytowka z duzym limitem.

      Nie daje telefonu, nie korzystam z menagerow hasel, nie ufam im.

      Zastanawiam sie za to kto sprzedaje nasze dane. Nie oskarzam nikogo ale w jednym czasie otworzylem konta w citi i santanderze b.p. Ktos z nich sprzedaje dane sprzedawcom garnkow bo sie rozdzwonily telefony.

      Mam do redakcji wyzwnie, napiszcie mi jak sie nazywam.

      Wyrazam zgode na pentest redakcji :P

      Pozdrawiam

  7. Jak zrobić U2F na Androidzie?

    • Krypton Authenticator dla Chrome, Androida, sam jestem ciekaw jak to się sprawuje.
      Korzystał ktoś ?

    • Zależnie od tego co wspiera twój token u2f i model telefonu, to możesz korzystać z tych samych interfejsów co na komputerze.
      USB – jeśli telefon obsługuje USB OTG, yo wystarczy zwykła przejściówka i token będzie działać.
      NFC – jeśli token telefon obsługują. Chyba najwygodniejsza opcja.
      Bluetooth – są klucze u2f obsługujące Bluetooth i android chyba nie ma z tym problemu :)

      Gorzej z obsługą u2f przez aplikację, ale chrome i Firefox z tego co wiem już to mają, a usługi Google niemal na pewno te dawno dostały obsługę tego. Obsługa w innych aplikacjach zależy już od ich twórców, więc tu trudno powiedzieć…

  8. dodajcie jeszcze falowniki.com

  9. @NIebezpiecznik wrote: “Dlatego zamiast tracić czas na sprawdzanie swoich danych w różnych wyciekach, po prostu zastosuj się do rad podanych powyżej: zacznij korzystać z managera haseł, zabezpiecz skrzynkę e-mail i włącz U2F gdzie się da.”

    Oraz (sugerowałbym):
    3) ZAWSZE(!) kiedy zakładasz w Menadżerze Haseł nową pozycję dla nowego kontaktu/tożsamości wpisuj także tam adres mailowy na który zakładasz to konto/kontakt/tożsamość . Po nagłym przejęciu/utracie dostępu do tego właśnie adresu e-mail – będziesz OD RAZU wiedział, którym serwisom i kontom trzeba błyskiem zmienić hasła :)
    Wygląda to mniej więcej tak:
    ( http://markooff.net//obrazki/niebezpiecznik/wyciek_21_milionow_hasel_i_773_milionw_adresow_email/keepass01.jpg )
    A po otwarciu okna kontaktu – tak :
    ( http://markooff.net//obrazki/niebezpiecznik/wyciek_21_milionow_hasel_i_773_milionw_adresow_email/keepass02.jpg )

    Istotne jest – żeby kontakt mailowy wpisać w jakimś polu neutralnym (np. dla KeePass’a jest to pole “Notes”) bo inaczej (np. w przypadku umieszczenia go w polu aktywnym typu “URL” itp) może się próbować automatycznie łaczyć …. ;)

    Pozdrawiam

    • UPD: oczywiście pisząc “będziesz OD RAZU wiedział, którym serwisom i kontom trzeba błyskiem zmienić hasła” miałem na myśli :
      “będziesz OD RAZU wiedział, którym serwisom i kontom trzeba błyskiem zmienić hasła i POPRZEPINAĆ NA INNĄ SKRZYNKĘ – przynajmniej chwilowo – do odzyskania kontroli nad tą skradzioną”
      ;)

      Takie, ot drobne niedomówienie :)

    • Można to rozwiązać jeszcze wygodniej, np. dzięki świetnemu programikowi (http://www.treepad.com/download/#tplitewin – także darmowy i portable) w którym, w strukturze drzewka, możemy przechowywać informacje typu: konto email > alias email > miejsca gdzie konto lub alias jest podpięty, ustawienia skrzynki, uwagi, komentarze itp

    • @jasc – no ale to samo da się osiągnąć właśnie z (dowolnym zapewne) menadżerem haseł. Wystarczy, żeby miał pole d oopisu tekstowego – żeby nic nie mogło być wykorzystane do np. automatycznej próby połączenia się/użycia po nacisnięciu myszka/najechaniu …
      A juz na pewno to działa z KeePass’em ;)

  10. Gdzie najlepiej kupić YubiKeya 5 NFC? U nas w PL jest znacznie droższy niż za granicą. Kupował ktoś? Warto w ogóle?

    • To w czym problem, żeby kupić za granicą? Jeśli nie zależy Ci na czasie, to najlepsza opcja.

  11. Więcej o tym wycieku można przeczytać tutaj:

    https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

  12. Witka

    Chciałbym korzystać z keepass na iphone, ale widzę tylko „Unofficial KeePass Ports” i boję się, że narobie sobie więcej kłopotów. Jak żyć ?

  13. Krypton Authenticator, jako rozszerzenie dla Chrome.
    Ktoś korzysta, może jakiś test niebezpiecznika :)

  14. Portale niezajmujące się bezpieczeństwem o tym pisały już w czwartek…

    • I widać napisali się przy tym głupot jeszcze

    • I gdyby nie napisały w czwartek to nie byłoby tego artykułu, który musi prostować ich niedopowiedzenia.

  15. Pisały, pisały, ale pisać (i biadolić/fascynować się rewelacją :) ) to jedno – a wytłumaczyć porządnie i podać środki zaradcze to drugie :)

  16. A ja dzisiaj skonfigurowalem logowanie do komputera (u mnie akurat MacOS przez Yubikey + Duo), generalnie swietna sprawa, polecam. Choc meczylem sie z tym pare godzin. I robie U2F gdzie sie da.

    • Akurat logowanie do systemu przez yubi to nie jest taki najlepszy pomysł…

    • That sounds great for us Mr. Expert
      Thank you :)

    • ‘Akurat logowanie do systemu przez yubi to nie jest taki najlepszy pomysł…’
      @Piotrek, dlaczego tak uwazasz?

    • Jesli nic się nie zmieniło, to korzystając z biblioteki Yubico do logowania maksymalnie 6 cyfrowy pin (!) Można było ustawić. Tyle.

  17. Próbowałem włączyć 2FA na gmailu, ale jest tylko możliwość z wykorzystaniem telefonu (np. SMS). Nie ma możliwości wyboru aplikacji takiej jak np. Authy.
    Na Facebooku udało się włączyć 2FA tylko na smartfonie. Na komputerze ciągle wyskakiwało, że kod jest nieprawidłowy. Może do konta Google też trzeba to włączać na smartfonie, a na komputerze się nie da?

  18. Jak czytałem nagłówki kilka dni wcześniej to też mi się wydawało, że sprawa jest kuriozalna niczym ostatnie “Oświadczenia na facebooku”. No ale cóż. Sprawa i tak sprowadza się do jednego, aby często zmieniać hasło do swojego e-maila. I nie na Password123, ha ha ha.

  19. Tak cały czas polecacie klucze U2F (i słusznie, bo to znacznie zwiększa bezpieczeństwo) – to może zajęlibyście się tym, dlaczego ŻADEN bank działający w Polsce nie oferuje tego zabezpieczenia (nawet jako opcję)?
    Bankom tak bardzo nie zależy na bezpieczeństwie? W sensie koszty frudów na np “fałszywe formularze dotpay” są niższe niż koszty wprowadzenia U2F? Przecież przy aktywnym U2F ataki na “fałszywe formularze dotpay” są całkowicie nie skuteczne (napastnik mając login i hasło i nie zaloguje się na konto).
    Koszty wprowadzenia po stronie banku pewne są nie duże, kto chce sobie tą opcję uruchomi, a bank może zachęcić do tego sprzedając swoim klientom tanio klucze Fido (one kosztują w HURCIE śmieszne pieniądze). Dodatkowa akcja promocyjna, że taki klucz z banku można też użyć na gmailu, FB itd. Przecież u2f dla “lamera” to zabezpieczenie idealne (1. nie trzeba się znać 2. nie trzeba myśleć).

    • 70% niemyślących Januszy zgubi ten klucz lub nieznające się Grażyny go poprostu zniszczą przez to, jak go używają, a wtedy co?

    • Oraz pozatym ze wiekszosc nie umie nic zrobic wlaczanie z zapamietaniem hasla ciocia kloocia…123…to wprowadzenie dla nich tak arcy trudnego utrudnienia dla paNA henka z pcimia dolnego co krowy pasie…bedzie utrudnieniem antyskutecznym…dodatkowo…drodzy… utrudnieniem bylo by dla naszych zieloniutkich i niebiesciutkich malych/wielkich przyjaciol…nie ze oni nie umieja ale ze byl by to kolejny etap do forsowania a tak jest po prostu drozej i trudniej i ktos cos moze jeszcze namieszac…

      ogolne bezpieczenstwo jest na tyle bezpieczne na ile po prostu srednia wazona dla spoleczenstwa moze byc..nie trzeba byc wielkim znawca aby to wiedziec.

  20. Redakcja mogłaby poświęcić te 45 dolarów zakupić bazę i udostępnić czytelnikom – ruch na serwisie wzrósł y 1000% a hakerzy do sądu chyba by nie podali za ujawnienie kradzionych hasel

    • Nie ma bata, nie udostepnia. Baza jest dostepna dla kazdego (torrent), ale redakcja nie przepuscila mojego posta z magnet linkami, generalnie da sie znalezc w miare latwo.
      Tylko ze sumarycznie to jest ponad 600GB danych, wiec troche siagania jest.

  21. A ja włączyłem 2FA na Fejsie. Kody generowałem przez Google Authenticator. Pewnego dnia zapomniałem hasła do telefonu. Telefon zresetowałem do ustawień fabrycznych. Następnie odkryłem, że GA nie zapamiętuje skonfigurowanych kont. Tym sposobem zablokowałem konto na Fejsie, na amen.
    Dlaczego?
    Nie podałem Fejsowi swojego numeru telefonu.
    Nie miałem zapasowych kodów – bo nigdzie nie było napisane, że trzeba je wygenerować (ani przechowywać długiego ciągu znaków dla 2FA).
    Co ciekawe, zresetować hasło mogłem za pomocą adresu email. Natomiast, żeby wyłączyć 2FA, serwis Fejsa mówi – wypełnij zgłoszenie i prześlij nam dokument tożsamości (mają własną definicję tego słowa i 2 grupy dokumentów :), który to nie będzie nigdzie przechowywany, ale mamy taki ficzerek do porównywania dokumentów skradzionych/zastrzeżonych/nieprawdziwych to sobie poprzetwarzamy.
    No way. Założyłem drugie konto.
    Moim zdaniem? Zwykłe wyłudzanie danych. Jeżeli w profilu nie ma mojego zdjęcia (nigdzie), imię i nazwisko się nie zgadza, numeru telefonu nie podałem, a jedyny kontakt to tylko mailem, to niby po co im ten dokument? Mogłem równie dobrze w Paintcie zrobić dowód osobisty, czy kartę miejską Piotra Koniecznego :)
    Z drugiej strony, jeśli dodaję konto do GA, to po co mam generować kody zapasowe, gdzie je przechowywać?

    • ludzi dzieli sie na dwie grupy – tych ktorzy robia backupy i tych ktorzy beda je robic ;)

  22. Redakcja ciągle poleca korzystanie z menedżera haseł, ale jakoś mnie takie programy nie przekonują, bo co zrobić, gdy korzysta się z kilku urządzeń? Przenosić między nimi bazę haseł? A co w przypadku, gdy awaryjnie trzeba będzie zalogować się do jakiegoś konta/usługi na innym niż swój komputerze? A jeśli menedżer haseł się “rozsypie” (na skutek błędu/awarii sprzetu) to co z dostępem do naszych usług? (wiem, że są backupy, ale zawsze…) Do tego dochodzi zabezpieczenie wszystkich haseł jednym hasłem (dostępu do menedżera), czyli też potencjalne niebezpieczeństwo ;-)

  23. Zastanawiam się czy wyciek ma coś wspólnego z ostatnim atakiem.
    Na stronach zaczęły pojawiać się dziwne znaki zaczynające się od:
    “var _0x42tbc1 = 1; eval(String.fromCharCode(1………”
    W niedzielę sprawdzałem Google to było ich około 5000 wieczorem już 17 000 na chwilę obecną ponad 40 000.

  24. Prosty sposób na sprawdzenie, czy nasz mejl jest w tej czy innej bazie:
    https://haveibeenpwned.com/

    Można też sprawdzić sobie czy nasze hasło jest w bazie:
    https://haveibeenpwned.com/Passwords

    I tu zapalić się powinno czerwone światełko – nigdy nie należy podawać swojego hasła na stronach innych niż ta, do której ono jest przeznaczone, nieprawdaż?
    Z drugiej strony autor przekonuje, że to bezpieczne i wyjaśnia, dlaczego: https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity
    Mało tego – znany menadżer haseł 1passwords został niedawno zintegrowany z w/w serwisem: https://1password.com/haveibeenpwned/

    Jestem ciekaw, co o powyższym sprawdzaniu haseł sądzi Piotr Konieczny lub ktoś inny z Redakcji niebezpiecznika.

    Więcej na temat “Collection #1” na blogu autora powyższej strony:
    https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/

    • A czy wlasciwie wiesz jak przebiega weryfikacja Twojego hasla na tej stronie? Obawiam sie ze nie, zapoznaj sie z opisem, przeczytaj, zrozum, przetestuj, zweryfikuj a potem pisz glupotki i dyrdymaly.

  25. Proszę o odpowiedź na “Jak sprawdzić, czy jestem w tym wycieku?”

    • napisałem post wyżej

    • To nic nie da. Ot będziesz i co z tego? Pytanie, gdzie dokładnie trzeba zmienić hasło.
      Pozostaje lista ze strony pastebin.
      I teraz o ile hasła zapisujesz w jakimś managerze albo przeglądarce da się wyeksportować strony do pliku i porównać z plikiem źródłowym (pastebin), czy występuje dany wpis.
      Można też samemu strona po stronie ale to bardzo żmudna praca. To praca dla tych co nie używają wyżej wymienionych metod zapisywania haseł do stron.

    • Jeśli używasz innego hasła na każdej stronie to wiesz, gdzie zmienić. Jeśli nie, to cóż, należy zacząć, od tego są generatory w menadżerach haseł. No i stosując menadżer 1password.com możesz jednym kliknięciem, w ciągu kilku sekund sprawdzić wszystkie swoje zapisane w nim hasła i będziesz widział, gdzie dokładnie trzeba je zmienić. Być może wkrótce ta funkcjonalność pojawi się w innych menadżerach, np. LastPass. Tymczasem można sobie założyć darmowe, 30-dniowe konto na 1password.com i zaimportować hasła z używanego przez siebie menadżera.

  26. Czy mając włączone 2FA w postaci kodu z appki mobilnej ORAZ podpięty klucz sprzętowy znacząco obniżam bezpieczeństwo? Klucz jest fajny, ale jednak jest ryzyko, że kiedyś go ze sobą nie zabiorę, a będę potrzebował wjazdu etc. Telefon zawsze mam przy sobie.

  27. Przede wszystkim miło mi że podjęliście temat który (pewnie jako nie jedyny) podsunąłem w mailu. Tak jak myślałem tragedii nie ma, ale tak jak w przypadku innych “wycieków” wycieków nasuwa się od razu myśl o bezpieczeństwie w sieci. W darknecie od dawna latają już pokaźne bazy danych i warto zadbać choćby o bezpieczeństwo skrzynki email, bo wszystko co choćby raz znalazło się w sieci warto traktować jako publiczne. Róbcie dalej swoją dobrą robotę ekipo Niebezpiecznika i my wszyscy czytelnicy starajmy się również uświadamiać swoich znajomych/rodzinę przed niebezpieczeństwami wirtualnego świata.

  28. Sprawdziłam z ciekawości swój stary e-mail na haveibeenpwnd.com
    I co? Oczywiście, że tam był xD Ten e-mail od wielu lat pewnie już lata na forach, a wszystko zaczęło się od wycieku Gamigo (pozdrawiam ludzi, który grali w LastChaos).
    Oczywiście miałam to samo hasło na wszystkich kontach (dlaczego w szkołach nie uczą o tak podstawowym zagadnieniu?) i częściowo straciłam dostęp do konta Origin. Ktoś włamał się na moje konto i zmienił hasło pomocnicze na rosyjskie. Udało mi się wszędzie pozmieniać hasła, ale dzięki genialnym zabezpieczeniom Origina nie mogłam ruszyć ani pytania, ani zmienić adresu e-mail na nowy (bo kto chciałby mieć konto powiązane z adresem e-mail, który obiegł już pewnie cały internet?).
    Ta nauczka spotkała mnie w wieku 12 lat, przez co mam trochę wyrzuty wobec programu nauczania informatyki w Polsce – może oprócz tworzenia kolorowych i animowanych prezentacji

  29. […] Podsumowując, jest bardzo małoprawdopodobne, że ktoś kiedyś zaatakuje Cię “złośliwym kablem USB”, jeśli nie jesteś tzw. HVT. Zdecydowanie bardziej prawdopodobne jest to, że nabierzesz się na phishing, albo ktoś włamie Ci się na jakieś konto w serwisie internetowym, bo miałeś na nim takie samo hasło, jak w innym serwisie, z którego dane wyciekły. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: