Verslo ir technologijų leidinys Forbes vienas pirmųjų šią savaitę pranešė apie patvirtintą, iki šiol didžiausią istorijoje duomenų nutekėjimą – viešai pasirodė net 16 milijardų prisijungimo duomenų, įskaitant slaptažodžius, susijusius su pagrindinių technologijų bendrovių, tokių kaip „Apple“, „Google“, „Facebook“ ir „Microsoft“, paskyromis.
Pasak kibernetinio saugumo tyrėjų, šie duomenys greičiausiai buvo surinkti per įvairias informacijos vagysčių (angl. infostealers) kampanijas. Kaip informuoja „Baltimax“ kibernetinio saugumo inžinierius ir ESET specialistas Lukas Apynis, tai kelia rimtą grėsmę vartotojų saugumui visame pasaulyje, Lietuvos gyventojai – ne išimtis.
Dar prieš mėnesį, gegužės 23 d., Forbes.com buvo pranešta apie didžiulį duomenų nutekėjimą, apėmusį 184 milijonus kompromituotų paskyrų – jau tuomet tai kėlė rimtą susirūpinimą, tačiau dabar situacija pasiekė naują mastą: kibernetinio saugumo tyrėjai patvirtino rekordinį nutekėjimą.
„Tokie duomenų nutekėjimai, paviešinimai, duomenų bazės būna parduodamos juodajame internete. Duomenys dažniausiai būna surenkami pasinaudojant šnipinėjimo virusais – angl. infostealer, – aiškina IT žinovas. – Tokio tipo virusai dažnai būna parduodami kaip paslauga ir bet kas gali jais pasinaudoti.
Šie virusai į įrenginį gali atkeliauti įvairiomis formomis, o jam pasileidus, per kelias sekundes gali būti pasisavinama įvairi informacija: naršyklėse saugomi slaptažodžiai, kriptovaliutų piniginės ir kiti duomenys.”
Kaip sako kibernetinio saugumo specialistas L. Apynis, labai didelė tikimybė, kad tarp tokio milžiniško kiekio duomenų yra ir dalies Lietuvos gyventojų duomenys, todėl dabar reikėtų atnaujinti prisijungimo prie „Apple“, „Google“, „Facebook“, „Microsoft“ paskyrų duomenis, taip pat verta iš el. pašto dėžučių ištrinti jautrią informaciją.
Kai nuteka slaptažodis, dažnai kompromituojama visa paskyra, o kartu ir su ja susijusi informacija: nuo asmeninių susirašinėjimų iki finansinių duomenų ar prieigos prie kitų susietų paslaugų. Tokiais atvejais, jei duomenys patenka į piktavalių rankas, neigiamos pasekmės gali būti reikšmingos ir ilgalaikės.
Saugumą patikėti vien tik slaptažodžiui – neverta
Vartotojo vardų ir slaptažodžių derinys naudojamas jau dešimtmečius, tačiau pastarieji įvykiai rodo, kad tai ne tik pasenusi, bet ir itin pažeidžiama sistema.
„Programišiai pasitelkia įvairius būdus slaptažodžiams pavogti – nuo automatizuoto jų spėjimo ir sukčiavimo (angl. phishing) iki trojanų ar klaviatūros sekimo programų. Gerokai saugesnis sprendimas – dviejų veiksnių autentifikavimas, užtikrinantis papildomą apsaugos sluoksnį“, – sako L. Apynis.
Tai sistema, kai vienkartinis prisijungimo kodas siunčiamas į patvirtintą įrenginį – dažniausiai jūsų telefoną. Tokia priemonė gerokai saugesnė nei vien tik slaptažodis, tačiau ir ji nėra nepažeidžiama – pavyzdžiui, jei įsilaužėliai perima jūsų telefoną ar įvykdo SIM kortelės keitimo (SIM swap) ataką. Būtent dėl to tokios bendrovės kaip „Apple“ ir „Google“ pereina prie dar saugesnio sprendimo – raktų (angl. passkeys).
Šie raktai leidžia prisijungti naudojant telefono biometrinius duomenis, tokius kaip piršto atspaudas ar veido atpažinimas.
Kaip užkirsti kelią duomenų nutekėjimui?
Norėdami pasitikrinti, ar jūsų asmeniniai duomenys, pavyzdžiui, el. pašto adresas ar paskyrų slaptažodžiai, nebuvo atskleisti viešai internete, kibernetinio saugumo ekspertai rekomenduoja pasitikrinti specialioje svetainėje haveibeenpwned.com. „Tai patikimas įrankis, leidžiantis greitai įvertinti, ar jūsų duomenys buvo įtraukti į kokį nors duomenų nutekėjimą“, – teigia saugumo inžinierius L. Apynis.
Jei ši sistema parodo, kad jūsų duomenys buvo kompromituoti, nedelskite ir:
- pakeiskite paskyrų slaptažodžius, ypač jei tą patį slaptažodį naudojote daugiau nei vienoje paskyroje.
- aktyvuokite dviejų faktorių autentifikavimą ir apsvarstykite galimybę naudoti slaptažodžių tvarkyklę.
Kuriant naują slaptažodį, labai svarbu, kad jis būtų stiprus ir sunkiai atspėjamas, todėl reikėtų vadovautis šiomis taisyklėmis:
Naudokite ilgą, unikalų slaptažodį kiekvienai paskyrai, nenaudokite to paties slaptažodžio keliose skirtingose platformose.
Verta naudoti slaptažodžių tvarkyklę, kuri padės generuoti ir saugoti sudėtingus slaptažodžius.
Įjunkite dviejų veiksnių autentifikavimą (2FA) – net jei kažkas sužinos jūsų slaptažodį, be papildomo patvirtinimo prisijungti nepavyks.
Reikėtų vengti užsirašyti prisijungimų vardus ant popieriaus arba laikyti juos užrašų programėlėje, taip pat nereikėtų saugoti paskyros prisijungimo duomenų interneto naršyklėje – ten jie dažniausiai saugomi tik kaip paprasti tekstiniai failai, todėl yra nesunkiai pažeidžiami duomenis galinčių išvilioti kenkėjiškų programų.
