Verslo ir technologijų leidinys Forbes vienas pirmųjų šią savaitę pranešė apie patvirtintą, iki šiol didžiausią istorijoje duomenų nutekėjimą – viešai pasirodė net 16 milijardų prisijungimo duomenų, įskaitant slaptažodžius, susijusius su pagrindinių technologijų bendrovių, tokių kaip „Apple“, „Google“, „Facebook“ ir „Microsoft“, paskyromis.
Pasak kibernetinio saugumo tyrėjų, šie duomenys greičiausiai buvo surinkti per įvairių duomenų vagysčių (angl. infostealers) kampanijas. Kaip praneša „Baltimax“ kibernetinio saugumo inžinierius ir ESET žinovas Lukas Apynis, tai kelia rimtą grėsmę vartotojų saugumui visame pasaulyje, Lietuvos gyventojai – ne išimtis.
Dar prieš mėnesį, gegužės 23 d., Forbes.com buvo pranešta apie didžiulį duomenų nutekėjimą, apėmusį 184 milijonus kompromituotų paskyrų – jau tuomet tai kėlė rimtą susirūpinimą, tačiau dabar padėtis pasiekė naują mastą: kibernetinio saugumo tyrėjai patvirtino rekordinį nutekėjimą.
„Tokie duomenų nutekėjimai, paviešinimai, duomenų bazės būna parduodamos juodajame internete. Duomenys dažniausiai būna surenkami pasinaudojant šnipinėjimo virusais – angl. infostealer, – aiškina IT žinovas. – Tokios rūšies virusai dažnai būna parduodami kaip paslauga ir bet kas gali jais pasinaudoti.
Šie virusai į įrenginį gali atkeliauti įvairiomis formomis, o jam pasileidus, per kelias sekundes gali būti pasisavinamos įvairios žinios: naršyklėse saugomi slaptažodžiai, kriptovaliutų piniginės ir kiti duomenys.“
Kaip sako kibernetinio saugumo žinovas L. Apynis, labai didelė tikimybė, kad tarp tokio milžiniško kiekio duomenų yra ir dalies Lietuvos gyventojų duomenys, todėl dabar reikėtų atnaujinti prisijungimo prie „Apple“, „Google“, „Facebook“, „Microsoft“ paskyrų duomenis, taip pat verta iš el. pašto dėžučių ištrinti jautrius duomenis.
Kai nuteka slaptažodis, dažnai kompromituojama visa paskyra, o kartu ir su ja susiję duomenys: nuo asmeninių susirašinėjimų iki finansinių duomenų ar prieigos prie kitų susietų paslaugų. Tokiais atvejais, jei duomenys patenka į piktavalių rankas, neigiamos pasekmės gali būti reikšmingos ir ilgalaikės.
Saugumą patikėti vien tik slaptažodžiui – neverta
Vartotojo vardų ir slaptažodžių derinys naudojamas jau dešimtmečius, tačiau pastarieji įvykiai rodo, kad tai ne tik pasenusi, bet ir itin pažeidžiama sistema.
„Programišiai pasitelkia įvairius būdus slaptažodžiams pavogti – nuo automatizuoto jų spėjimo ir sukčiavimo (angl. phishing) iki trojanų ar klaviatūros sekimo programų. Gerokai saugesnis sprendimas – dviejų veiksnių autentifikavimas, užtikrinantis papildomą apsaugos sluoksnį“, – sako L. Apynis.
Tai sistema, kai vienkartinis prisijungimo kodas siunčiamas į patvirtintą įrenginį – dažniausiai jūsų telefoną. Tokia priemonė gerokai saugesnė nei vien tik slaptažodis, tačiau ir ji nėra nepažeidžiama – pavyzdžiui, jei įsilaužėliai perima jūsų telefoną ar įvykdo SIM kortelės keitimo (SIM swap) ataką. Būtent dėl to tokios bendrovės kaip „Apple“ ir „Google“ pereina prie dar saugesnio sprendimo – raktų (angl. passkeys).
Šie raktai leidžia prisijungti naudojant telefono biometrinius duomenis, tokius kaip piršto atspaudas ar veido atpažinimas.
Kaip užkirsti kelią duomenų nutekėjimui?
Norėdami pasitikrinti, ar jūsų asmeniniai duomenys, pavyzdžiui, el. pašto adresas ar paskyrų slaptažodžiai, nebuvo atskleisti viešai internete, kibernetinio saugumo žinovai pataria pasitikrinti specialioje svetainėje haveibeenpwned.com. „Tai patikimas įrankis, leidžiantis greitai įvertinti, ar jūsų duomenys buvo įtraukti į kokį nors duomenų nutekėjimą“, – teigia saugumo inžinierius L. Apynis.
Jei ši sistema parodo, kad jūsų duomenys buvo kompromituoti, nedelskite ir:
- pakeiskite paskyrų slaptažodžius, ypač jei tą patį slaptažodį naudojote daugiau nei vienoje paskyroje.
- aktyvuokite dviejų faktorių autentifikavimą ir apsvarstykite galimybę naudoti slaptažodžių tvarkyklę.
Kuriant naują slaptažodį, labai svarbu, kad jis būtų stiprus ir sunkiai atspėjamas, todėl reikėtų vadovautis šiomis taisyklėmis:
1. Naudokite ilgą, išskirtinį slaptažodį kiekvienai paskyrai, nenaudokite to paties slaptažodžio keliose skirtingose platformose.
2. Verta naudoti slaptažodžių tvarkyklę, kuri padės generuoti ir saugoti sudėtingus slaptažodžius.
3. Įjunkite dviejų veiksnių autentifikavimą (2FA) – net jei kažkas sužinos jūsų slaptažodį, be papildomo patvirtinimo prisijungti nepavyks.
Reikėtų vengti užsirašyti prisijungimų vardus ant popieriaus arba laikyti juos užrašų programėlėje, taip pat nereikėtų saugoti paskyros prisijungimo duomenų interneto naršyklėje – ten jie dažniausiai saugomi tik kaip paprasti tekstiniai failai, todėl yra nesunkiai pažeidžiami duomenis galinčių išvilioti kenkėjiškų programų.
Be jokios abejonės, kad Didysis Trejetas turi visų mūsų duomenis, mintis, nuomones ir svajones. Kiekvieno PC įsodintas po kietą kagebistą.