Jakiś czas temu wyciekła baza danych zawierająca 1,4 miliarda adresów e-mail i haseł. Niestety, w bazie znalazły się także polskie adresy, jest ich aż 10 milionów.
Co wiemy?
Dane pochodzą z różnych okresów, znajdują się tam wiekowe hasła, jak i takie sprzed kilku tygodni. Oznacza to, że pochodzą z różnych wycieków. Największym zagrożeniem jest forma przechowywania haseł – wszystkie zapisane są otwartym tekstem. Oznacza to, że albo zostały już złamane, albo wyciągnięto je z serwisów, które nie stosowały szyfrowania lub wykorzystywały bardzo prostą funkcję np. sumy kontrolne MD5. W bazie znaleziono 10 milionów adresów z końcówkami .pl w domenie. Nie ma to przełożenia na ilość polskich adresów, ponieważ od lat większość z nas korzysta z poczty Gmail. Dlaczego więc haseł jest 13,2 mln? Ponieważ niektóre adresy powtarzają się, co sugeruje rejestrację przez jedną osobę na różnych portalach.
Zobacz też: Twórca klawiatury ai.type przypadkowo ujawnił dane 31 milionów użytkowników
Statystyki…
Nigdy nie spotkałem się z rankingiem najpopularniejszych polskich usług mailowych. Tymczasem okazuje się, że wygrywa WP. Niestety, dane są naprawdę nieaktualne, na 22 pozycji znajdziemy nieistniejącą od lat pocztę GG.
O wiele gorzej prezentują się najpopularniejsze hasła. Prym wiodą imiona, czasem z dołożoną cyferką. Mogłoby się wydawać, że takie hasła są lepsze od np. qwerty, ale to nie do końca prawda. Otóż takie zabezpieczenie bardzo łatwo złamać tzw. metodą słownikową. Można też odnaleźć mnóstwo prostych ciągów znaków (jak np. wspomniane wyżej qwerty) oraz proste ciągi liczbowe (np. 123456). Pojawiły się również oczywiste frazy, jak np. dupa, hasło itp.
Zbadano także popularność różnych długości haseł. Jak się okazuje najczęściej korzystamy z kombinacji mających od 6 do 10 znaków. Nie jest to dobry wynik. Aż 45% haseł jest złożonych tylko z małych liter. To ogromne ułatwienie w przypadku ich łamania, zarówno metodą słownikową, jak i brute force.
Wśród adresów udało się odnaleźć także parę dość ciekawych domen. Jak widać ofiarami są także politycy i osoby pracujące w rządzie, aż 3347 adresów pochodzi z domeny gov.pl.
Po co komu te dane?
Nie, powyższe hasła nie otwierają z miejsca wszystkich skrzynek e-mail. Niestety, wielu z nas tym samym hasłem loguje się na pocztę e-mail, jak i inne serwisy internetowe. Na taki brak odpowiedzialności liczą hakerzy, którzy logują się do poczt (ciężko nazwać to włamaniem), przeszukują je i w zależności od znalezionych informacji wzbogacają się lub szantażują ofiarę znalezionymi informacjami. Niestety, zgodność haseł jest wyższa niż mogłoby się wydawać. Te dane prawdopodobnie w większości są nieaktualne, jednak pewne ryzyko nadal pozostaje. Warto czasem zadbać o unikalność własnych haseł, konsekwencje takich zaniedbań mogą być opłakane.
Tutaj możliwe jest sprawdzenie, czy nasz adres e-mail znalazł się w jakimkolwiek wycieku danych.
Źródło: Zaufana Trzecia Strona