TeamQuest Blog

Collection #1 – katastrofalny wyciek 773 mln haseł, którego… nie było?

Collection #1 – katastrofalny wyciek 773 mln haseł, którego… nie było?

Maciej Olanicki , 17.01.2019 r.

Media zaczynają informować o kolejnym ogromnym wycieku danych, rzekomo rekordowym. Wygląda jednak na to, że sytuacja nie jest aż tak katastrofalna, jak się wydaje. Po pierwsze, 773 mln haseł to stanowczo za mało by pobić światowy rekord. Po drugie, żadnego wycieku mogło… nie być!

Collection #1 – skąd wyciekło 773 mln haseł?

Niemal każdego roku mamy do czynienia z pobiciem niesławnego rekordu w wycieku danych z baz należących do popularnych internetowych usług. Rekord należy w tej chwili nadal do indyjskiej agencji rządowej Aadhar, zarządzającej tamtejszym odpowiednikiem PESEL. W styczniu 2017 roku z Aadhar wyciekło ponad miliard wpisów z rejestru ludności, ale nie wzbudziło to większego zainteresowania światowych mediów – mimo ogromnej skali wycieku, miał on charakter względnie „lokalny”, gdyż ograniczony do jednego państwa.

collection-mega Podgląd bazy, gdy była jeszcze dostępna w usłudze MEGA. Źródło: Troy Hunt

Dzisiejszej nocy jako pierwszy o ogromnej bazie wrażliwych danych poinformował Troy Hunt, dyrektor regionalny i MVP Microsoftu. Opisywane przez niego archiwum #Collection 1 ma składać się z 12 tys. plików, mieć wielkość aż 87 GB i zawierać prawie 773 mln unikatowych adresów e-mailowych oraz 21,2 mln unikatowych haseł. Łącznie udostępniona w usłudze MEGA (została już stamtąd usunięta) paczka zawierała więc 1,16 mld unikatowych kombinacji e-maili i haseł.

Brak (większych niż zwykle) powodów do zmartwień

Obawy może również wzbudzić nazwa znaleziska Troya Hunta. Numeracja „#1” sugeruje bowiem, że „kolekcji” może być znacznie więcej, zaś wspomniany 1,16 mld unikatowych kombinacji, które będą wodą na młyn dla każdego ataku brute force, to zaledwie początek. Czy słusznie? A może rewelacje Hunta to wyłącznie fakt medialny i straszak, który ma trafić na nagłówki w szczytnym celu? W oryginalnym wpisie sporo miejsca poświęcono bowiem promowaniu świetnej niekomercyjnej usługi Have I Been Pwnd?.

haveibeen Collection to największy zbiór obsługiwany przez Have I Been Pwnd.

Prawda leży pośrodku. Na udostępnionych przez Hunta zrzutach ekranu z usługi MEGA widać bowiem adresy serwisów, z których pochodzą dane. Jak się okazuje, źródeł jest mnóstwo i są z całego świata. To zaś pozwoli twierdzić, że Collection #1 nie jest pojedynczym nowym wyciekiem, ale kompilacją wielu baz, które były dostępne w Internecie już wcześniej. Słowem – nie ma powodu do paniki ani szczególnych obaw, bo nawet jeśli Twoje dane znajdują się w Collection #1 to znaczy, że krążyły po Internecie już wcześniej.

Co robić?

Wszystkim zaniepokojonym polecamy odwiedzić polecaną przez Troya Hunta stronę Have I Been Pwnd? – dodane zostały już do niej dane z Collection #1 (jest to jak dotąd największa obsługiwana tam baza) i każdy może sprawdzić, czy jego dane są bezpieczne. Serwis wyszczególnia nawet, kiedy i z jakiego serwisu wyciekł dany adres e-mail czy hasło. To zaś pozwala na identyfikację niezabezpieczonych kont i zmianę danych logowania.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej