Potwierdzono największą w historii bazę danych wyciekających hasła
Największa na świecie kolekcja skradzionych haseł została przesłana na niesławny rynek przestępczy, gdzie cyberprzestępcy handlują takimi danymi uwierzytelniającymi. Haker posługujący się pseudonimem „ObamaCare” opublikował bazę danych zawierającą prawie 10 miliardów unikalnych haseł, które prawdopodobnie zostały zebrane z licznych naruszeń danych i włamań na przestrzeni wielu lat. Oto wszystko, co musisz wiedzieć.
Co musisz wiedzieć o bazie danych haseł RockYou2024
Badacze ds. bezpieczeństwa z Cybernews odkryli coś, co wydaje się być największy zbiór skradzionych i ujawnionych danych uwierzytelniających kiedykolwiek widziano na przestępczym forum podziemnym BreachForums. Zawierając zdumiewające 9 948 575 739 unikalnych haseł, wszystkie w formacie zwykłego tekstu, kompilacja RockYou2024 obejmuje wcześniejszą bazę danych poświadczeń znaną jako RockYou 2021, która zawierała 8,4 miliarda haseł, dodając do miksu około 1,5 miliarda nowych haseł. Obejmują one okres od 2021 do 2024 roku i szacuje się, że najnowszy plik poświadczeń zawiera wpisy z łącznie 4000 ogromnych baz danych skradzionych poświadczeń obejmujących co najmniej dwie dekady.
„W swej istocie wyciek RockYou2024 jest kompilacją rzeczywistych haseł używanych przez osoby na całym świecie” – powiedzieli badacze, dodając „ujawniając, że wiele haseł dla aktorów zagrożeń znacznie zwiększa ryzyko ataków typu credential stuffing”.
Implikacje brutalnej siły RockYou2024
Ataki polegające na wyłudzaniu danych uwierzytelniających pozostają jedną z najczęstszych i najskuteczniejszych metod uzyskiwania dostępu do usług i systemów przez przestępców, hakerów sponsorowanych przez państwo oraz podmioty powiązane z oprogramowaniem ransomware.
Tacy aktorzy zagrożeń mogliby wykorzystać kompilację haseł RockYou2024, aby przeprowadzić ataki siłowe i „uzyskać nieautoryzowany dostęp do różnych kont internetowych używanych przez osoby, które używają haseł zawartych w zestawie danych”, powiedział zespół badawczy. Może to obejmować wszystko, od usług online, po kamery skierowane do Internetu, a nawet sprzęt przemysłowy. W połączeniu z innymi wyciekłymi bazami danych na forach hakerów i targowiskach dark web, zawierającymi adresy e-mail i inne dane uwierzytelniające, zespół stwierdził, że „RockYou2024 może przyczynić się do kaskady naruszeń danych, oszustw finansowych i kradzieży tożsamości”.
Eksperci ds. bezpieczeństwa ujawniają, jak bardzo powinieneś się martwić i co musisz teraz zrobić
„Wiem, że to może brzmieć śmiesznie, ale czym jest dodatkowe 1,5 miliarda haseł?” – powiedział Daniel Card, samozwańczy Cyber Ninja Warrior i założyciel firmy konsultingowej ds. bezpieczeństwa PwnDefend. Ma rację: gdy takie bazy danych osiągną punkt krytyczny pod względem unikalnego rozmiaru hasła, to nie ma większego znaczenia, ile nowych haseł zostanie dodanych. „Kiedy przyjrzymy się sposobowi tworzenia haseł przez ludzi” – powiedział Card – „czy to zmieni świat? Prawdopodobnie nie. Nie sądzę, żeby to zmieniło możliwości sprawców zagrożeń w jakikolwiek znaczący sposób”.
Inni eksperci ds. bezpieczeństwa zgadzają się z Cardem w tej kwestii. „Choć ta praca zbiorowa jest momentem szoku i podziwu, jeśli chodzi o to, jak straszny jest stan kontroli zarządzania tożsamością i dostępem oraz brak ochrony tych informacji”, powiedział Ian Thornton-Trump, dyrektor ds. informacji o bezpieczeństwie w agencji wywiadowczej Cyjax, „myślę, że nadchodzi moment, w którym wielkość tych zagregowanych danych staje się niemal bezużyteczna ze względu na ich ogromne rozmiary”. Thornton-Trump przyznaje, że to oczywiście zła rzecz, ale naprawdę zły jest brak uwierzytelniania wieloskładnikowego, który nadal istnieje w organizacjach na całym świecie. „Może musimy przyjrzeć się regulacjom, które wymuszą MFA dla każdego logowania na platformie oprogramowania jako usługi?”, podsumowuje.
Co powinieneś zrobić w odpowiedzi na ten ogromny wyciek danych uwierzytelniających hasła w postaci zwykłego tekstu? Moja rada jest taka, abyś przyjrzał się sobie i swojemu nastawieniu do bezpieczeństwa logowania. Jake Moore, globalny doradca ds. cyberbezpieczeństwa w firmie ESET, wydaje się zgadzać. „Naprawdę nie ma wymówki, aby nie używać unikalnych haseł dla każdego konta, ponieważ naruszenia danych niestety nadal występują i rosną” — powiedział Moore. „Na szczęście menedżery haseł są łatwiejsze niż kiedykolwiek w użyciu i wdrażaniu w codziennym życiu. Ponadto oferują trudną część generowania haseł i bezpieczne przechowywanie tych złożonych kodów” — podsumowuje Moore.
Sprawdź swoje hasła pod kątem ujawnienia za pomocą narzędzia Cybernews
W międzyczasie nie panikuj zbytnio w związku z RockYou2024. Zajmij się swoimi sprawami, zachowując przy tym jak najwięcej ostrożności w kwestii generowania, przechowywania i używania haseł. Uruchom menedżera haseł, 1Password i Proton Pass to solidne wybory, a Apple wprowadzi ogólna aplikacja do zarządzania hasłami z nadchodzącą aktualizacją iOS 18. O, i zacznij stosować MFA gdziekolwiek możesz. Używając Cybernews sprawdzanie ujawnionych hasełmożesz sprawdzić, czy Twoje hasła znajdują się w najnowszej bazie danych skradzionych danych uwierzytelniających RockYou.
.png?width=1200&height=630&fit=crop&enable=upscale&auto=webp&w=238&resize=238,178&ssl=1 "Mario + Rabbids Sparks of Hope za darmo w tym tygodniu dla członków Nintendo Switch Online")
