W sieci krąży baza zawierająca 13,2 mln polskich haseł, statystyki przerażają

Adrian Celej Artykuły 2017-12-18

Jakiś czas temu wyciekła baza danych zawierająca 1,4 miliarda adresów e-mail i haseł. Niestety, w bazie znalazły się także polskie adresy, jest ich aż 10 milionów.

Co wiemy?

Dane pochodzą z różnych okresów, znajdują się tam wiekowe hasła, jak i takie sprzed kilku tygodni. Oznacza to, że pochodzą z różnych wycieków. Największym zagrożeniem jest forma przechowywania haseł – wszystkie zapisane są otwartym tekstem. Oznacza to, że albo zostały już złamane, albo wyciągnięto je z serwisów, które nie stosowały szyfrowania lub wykorzystywały bardzo prostą funkcję np. sumy kontrolne MD5. W bazie znaleziono 10 milionów adresów z końcówkami .pl w domenie. Nie ma to przełożenia na ilość polskich adresów, ponieważ od lat większość z nas korzysta z poczty Gmail. Dlaczego więc haseł jest 13,2 mln? Ponieważ niektóre adresy powtarzają się, co sugeruje rejestrację przez jedną osobę na różnych portalach.

Zobacz też: Twórca klawiatury ai.type przypadkowo ujawnił dane 31 milionów użytkowników

Statystyki…

Nigdy nie spotkałem się z rankingiem najpopularniejszych polskich usług mailowych. Tymczasem okazuje się, że wygrywa WP. Niestety, dane są naprawdę nieaktualne, na 22 pozycji znajdziemy nieistniejącą od lat pocztę GG.

O wiele gorzej prezentują się najpopularniejsze hasła. Prym wiodą imiona, czasem z dołożoną cyferką. Mogłoby się wydawać, że takie hasła są lepsze od np. qwerty, ale to nie do końca prawda. Otóż takie zabezpieczenie bardzo łatwo złamać tzw. metodą słownikową. Można też odnaleźć mnóstwo prostych ciągów znaków (jak np. wspomniane wyżej qwerty) oraz proste ciągi liczbowe (np. 123456). Pojawiły się również oczywiste frazy, jak np. dupa, hasło itp.

Zbadano także popularność różnych długości haseł. Jak się okazuje najczęściej korzystamy z kombinacji mających od 6 do 10 znaków. Nie jest to dobry wynik. Aż 45% haseł jest złożonych tylko z małych liter. To ogromne ułatwienie w przypadku ich łamania, zarówno metodą słownikową, jak i brute force.

Wśród adresów udało się odnaleźć także parę dość ciekawych domen. Jak widać ofiarami są także politycy i osoby pracujące w rządzie, aż 3347 adresów pochodzi z domeny gov.pl.

Po co komu te dane?

Nie, powyższe hasła nie otwierają z miejsca wszystkich skrzynek e-mail. Niestety, wielu z nas tym samym hasłem loguje się na pocztę e-mail, jak i inne serwisy internetowe. Na taki brak odpowiedzialności liczą hakerzy, którzy logują się do poczt (ciężko nazwać to włamaniem), przeszukują je i w zależności od znalezionych informacji wzbogacają się lub szantażują ofiarę znalezionymi informacjami. Niestety, zgodność haseł jest wyższa niż mogłoby się wydawać. Te dane prawdopodobnie w większości są nieaktualne, jednak pewne ryzyko nadal pozostaje. Warto czasem zadbać o unikalność własnych haseł, konsekwencje takich zaniedbań mogą być opłakane.

Tutaj możliwe jest sprawdzenie, czy nasz adres e-mail znalazł się w jakimkolwiek wycieku danych.

Źródło: Zaufana Trzecia Strona



  • Uri0550

    Mniam 🙂

  • 0001

    Na tej stronie co się sprawdza… Jaki musi być komunikat żeby wiedzieć czy ktoś się włamał czy nie?

    • Adrian Celej

      ,,Oh no — pwned!”

      • Karol Makowski

        Piłeś coś?

        • Adrian Celej

          ???
          Podałem komunikat, który pojawia się, gdy adres zostanie znaleziony w bazie. To wszystko.

      • Karol Makowski

        ,,oh no — pwned!”
        Nie ogarniam co to ?

        • Adrian Celej

          Ten komunikat pojawi się, gdy adres zostanie znaleziony w bazie.

  • Karol Makowski

    Kurde
    Nie jest dobrze :/
    Sprawdzałem maila niedawno i brakowało mi czegoś
    Ciekawe kto to wykorzysta 🙂

    • 0001

      Miałeś Gmail czy inny portal Polski?

    • Adrian Celej

      Straszny zwyrol ci się trafił, skoro poza przetrzepaniem poczty zaczął ci maile usuwać…

      • Karol Makowski

        Ja się trochę martwię
        Były tam dane osobowe, konta bankowe i adresy wielu osób

        • Adrian Celej

          Kurcze, myślałem, że żartujesz. Adres jest w bazie? Masz w swoim mailu możliwość sprawdzenia ostatnich logowań? Miałeś na jakimś portalu takie samo hasło jak na mailu?

          • Karol Makowski

            Przedawałem trochę rzeczy na allegro
            Sporo danych tam było
            Oby tylko przepadły
            A nikt ich nie używał

            Zawsze zapisuje hasła i maile w swoim atlasie w domu 🙂

            Na przeglądarce czyszczę dane z haseł itp. co 2-3 dni i nie zapamiętuje haseł na nich
            Ciągle wpisuje od nowa

          • Karol Makowski

            Hasła i maile moje
            Nie klientów

          • Adrian Celej

            Jeśli na mailu miałeś unikatowe hasło, to raczej nic ci nie grozi. Ewentualnie innym wektorem ataku może być keylogger na kompie. Masz antywirusa?



x