Hakerzy ukradli 16 mld haseł do kont Apple, Google i FB - jak się chronić?

Przeczytaj także: Czy passkeys zastąpi hasła?

Infostealery to złośliwe oprogramowanie, do którego zainstalowania użytkownicy zostali nakłonieni w nieświadomy sposób. Hakerzy używają zdobytych danych do tzw. „credential stuffing” – czyli masowego testowania skradzionych loginów i haseł na różnych stronach internetowych, by przejąć konta – uważa Robert Falzon z firmy Check Point.

Jeśli użytkownicy używają tych samych haseł na wielu stronach, haker może dostać się do konta bankowego, opróżnić zawartość kont u ulubionych sprzedawców z punktów lojalnościowych, a nawet znaleźć adres i datę urodzenia, by ukraść tożsamość – ostrzega Falzon.

Dlatego Google radzi miliardom użytkowników, by wymienili swoje hasła na dużo bardziej bezpieczne klucze dostępu. Dlatego FBI ostrzega ludzi, by nie klikali w linki w wiadomościach SMS. Skradzione hasła mogą być bowiem wystawiane na sprzedaż, w milionach egzemplarzy.

Eksperci ostrzegają, że skradzione dane są „początkiem masowej eksploatacji”, ponieważ mogą dać cyberprzestępcom bezprecedensowy dostęp do informacji, które mogą zostać wykorzystane do przejmowania kont, kradzieży tożsamości oraz wysoce ukierunkowanych ataków.

Mamy do czynienia z ogromnymi repozytoriami w darknecie, pełnymi list użytkowników, haseł i danych uwierzytelniających skradzionych od osób na całym świecie, które są kupowane i sprzedawane jak towary – dodaje ekspert Check Pointa.

Czy wszystkie dane z najnowszego wycieku są nowe? To kwestia sporna. Cybernews twierdzi, że „dane są aktualne i nie są efektem recyklingu informacji ze starych wycieków”, ale inni mają odmienne zdanie. – Bardzo trudno jest ustalić ich pochodzenie – uważają eksperci firmy Check Point - ponieważ niektórzy hakerzy łączą dane z kilku wycieków, by sprzedać je jako nowe.

Jedynym sposobem na ocenę aktualności danych byłoby porównanie ich z innymi znanymi wyciekami. – Jeśli hakerzy zdobędą czyjeś hasło do Google, Apple czy Facebooka, kradzież pieniędzy lub tożsamości może być łatwiejsza niż odebranie cukierka trzylatkowi – powiedział w komunikacie prasowym Ignas Valancius, szef działu inżynierii w firmie NordPass.

Mam tyle kont, że ciężko mi zapamiętać wszystkie hasła. Co mogę zrobić?

Niektórzy eksperci zalecają korzystanie z menedżerów haseł – generują one silne, unikalne hasła dla każdego konta i zapisują je w zaszyfrowanej bazie, do której użytkownik ma dostęp. Inni jednak ostrzegają, że poziom szyfrowania w menedżerach haseł bywa różny. W razie wycieku z samego menedżera, wszystkie zapisane hasła mogą być zagrożone.

Wielu ekspertów poleca korzystanie z kluczy dostępu (passkeys), gdy tylko jest to możliwe. Klucze dostępu to cyfrowe dane uwierzytelniające, które odblokowują konta za pomocą rozpoznawania twarzy lub odcisku palca w telefonie. Uważane są za bezpieczniejsze niż tradycyjne hasła – nie trzeba ich zapamiętywać, nie można ich zgadnąć, ani przypadkowo wpisać na złej stronie. Nie wszystkie strony wspierają jeszcze passkeys, ale wiele dużych firm, takich jak Apple, Shopify, Microsoft, DocuSign i PayPal już to robią.