Дело о 773 миллионах

Главной новостью на тему информационной безопасности на неделе с 14 по 20 января стала публикация на одном хакерском форуме базы данных, содержащей, по первоначальным утверждениям, больше миллиарда комбинаций логинов (точнее, email-адресов) и паролей. База, получившая известность под названием «Коллекция 1» (Collection #1), занимавшая 87 гигабайт и включавшая в себя более 12000 файлов, была удалена, но её копия оказалась у Троя Ханта (Troy Hunt), владельца сервиса Have I Been PWNed (HIBP). То, что при приведении базы к единому формату нашлось «всего» 773 миллиона email-адресов и около 21 миллиона уникальных паролей, ситуацию принципиально не улучшает. Ничуть не легче и от того, что все эти реквизиты получены «с бору по сосенке», из совокупности утечек разного размера. База включает в себя как утечки, произошедшие до 2010 года, так и сравнительно свежие. Есть информация, что на продажу выставлена ещё более полная база, и общий размер данных (до устранения дубликатов) составляет больше 1 терабайта — новый печальный рекорд.

Конкретный почтовый адрес можно проверить на попадание в списки взлома с помощью сервиса Have I Been PWNed. Те, кто не хочет проверять адрес напрямую, могут воспользоваться описанной нами некоторое время назад интеграцией HIBP с Firefox. Можно облегчённо вздохнуть, если вашего адреса не окажется в списке. Если же выяснится, что какой-то из сайтов не смог уберечь ваши реквизиты доступа, то возможностей у вас немного. Прежде всего потому, что вы не знаете, с какого сайта произошла утечка. Например, автор статьи подписан на множество почтовых рассылок, и на сайтах заведомо есть его email-адрес и автоматически сгенерированный пароль, но максимальный ущерб от такой утечки — это отписка от рассылки.

Во-первых, тот же сайт HIBP позволяет проверить отдельные пароли на присутствие в базе, но это кажется довольно рискованным действием, хотя оснований не доверять автору сайта пока нет. Так как пароли ищутся отдельно от email-адресов, то для сравнительно тривиального пароля велик шанс ложного срабатывания.

Можно завести какой-нибудь менеджер паролей и поменять все пароли на всех сервисах (да, на всех-всех, и неважно, помните ли вы их все) на автоматически сгенерированные и поэтому не повторяющиеся. Теоретически это является оптимальным решением, но его никто не будет осуществлять на практике — те, кому нравятся менеджеры паролей (тоже не защищённые от утечек), уже давно ими пользуются. Некоторые менеджеры паролей сами осуществляют проверку по базе свежих взломов. Кроме того, в большинстве случаев менеджеры паролей препятствуют повторному использованию паролей, что явно хорошая практика для минимизации ущерба.

Наконец, самый очевидный способ — положиться на принцип «неуловимого Джо» и двухфакторную аутентификацию там, где она включена. Вероятность целевой атаки на конкретного пользователя не очень высока. К тем, кто последует этому принципу, можно приплюсовать и тех, кто ничего не слышал об утекших базах.

Принцип неуловимого Джо может не выручить, если сервис, пароль от которого достался хакеру, не предпринимает дополнительных мер защиты. Тогда возможно использовать аккаунт жертвы как стартовую точку для всевозможной социальной инженерии — например, банально попросить денег у всего списка контактов. Можно просто прочитать конфиденциальную информацию, доверенную сервису. В общем, вариантов хватает. Очевидно, что добытые таким образом реквизиты доступа будут автоматически перебираться скриптами в бесчисленных попытках залогиниться на популярных ресурсах, создавая тем самым повышенную нагрузку на эти сайты.

Можно помечтать о сервисе, который присылал бы на почтовый адрес информацию о том, в каком контексте затронут этот самый адрес – скажем, на локальном компьютере перебрать пароли, проверить утекшие хеши и вздохнуть с облегчением или же поменять пароли точечно. Непонятно только, можно ли считать сам такой сервис достаточно безопасным. HIBP предлагает подписку на уведомления о том, что ваш адрес всплыл в очередной порции украденных данных, но, как мы написали выше, этого может оказаться недостаточно. Пароли хранятся на сервисе отдельно от email-адресов, и это решение призвано повысить уровень безопасности на случай, если сам HIBP когда-нибудь окажется скомпрометирован.

Итак, сейчас, по мнению многих экспертов, подходящее время для перехода на менеджер паролей и включения двухфакторной авторизации на сервисах, которые её предлагают. А владелец HIBP рекомендует тем, кто не готов на столь ответственный шаг, перейти хотя бы на запись паролей в тетрадку, лежащую в заведомо безопасном месте, если таковое у вас есть.


Автор:  Дмитрий Белявский (ТЦИ)

Возврат к списку