Collection #1 – katastrofalny wyciek 773 mln haseł, którego… nie było?

Maciej Olanicki, 17.01.2019 r.

Media zaczynają informować o kolejnym ogromnym wycieku danych, rzekomo rekordowym. Wygląda jednak na to, że sytuacja nie jest aż tak katastrofalna, jak się wydaje. Po pierwsze, 773 mln haseł to stanowczo za mało by pobić światowy rekord. Po drugie, żadnego wycieku mogło… nie być!

Collection #1 – skąd wyciekło 773 mln haseł?

Niemal każdego roku mamy do czynienia z pobiciem niesławnego rekordu w wycieku danych z baz należących do popularnych internetowych usług. Rekord należy w tej chwili nadal do indyjskiej agencji rządowej Aadhar, zarządzającej tamtejszym odpowiednikiem PESEL. W styczniu 2017 roku z Aadhar wyciekło ponad miliard wpisów z rejestru ludności, ale nie wzbudziło to większego zainteresowania światowych mediów – mimo ogromnej skali wycieku, miał on charakter względnie „lokalny”, gdyż ograniczony do jednego państwa.

Podgląd bazy, gdy była jeszcze dostępna w usłudze MEGA. Źródło: Troy Hunt

Dzisiejszej nocy jako pierwszy o ogromnej bazie wrażliwych danych poinformował Troy Hunt, dyrektor regionalny i MVP Microsoftu. Opisywane przez niego archiwum #Collection 1 ma składać się z 12 tys. plików, mieć wielkość aż 87 GB i zawierać prawie 773 mln unikatowych adresów e-mailowych oraz 21,2 mln unikatowych haseł. Łącznie udostępniona w usłudze MEGA (została już stamtąd usunięta) paczka zawierała więc 1,16 mld unikatowych kombinacji e-maili i haseł.

Brak (większych niż zwykle) powodów do zmartwień

Obawy może również wzbudzić nazwa znaleziska Troya Hunta. Numeracja „#1” sugeruje bowiem, że „kolekcji” może być znacznie więcej, zaś wspomniany 1,16 mld unikatowych kombinacji, które będą wodą na młyn dla każdego ataku brute force, to zaledwie początek. Czy słusznie? A może rewelacje Hunta to wyłącznie fakt medialny i straszak, który ma trafić na nagłówki w szczytnym celu? W oryginalnym wpisie sporo miejsca poświęcono bowiem promowaniu świetnej niekomercyjnej usługi Have I Been Pwnd?.

Collection to największy zbiór obsługiwany przez Have I Been Pwnd.

Prawda leży pośrodku. Na udostępnionych przez Hunta zrzutach ekranu z usługi MEGA widać bowiem adresy serwisów, z których pochodzą dane. Jak się okazuje, źródeł jest mnóstwo i są z całego świata. To zaś pozwoli twierdzić, że Collection #1 nie jest pojedynczym nowym wyciekiem, ale kompilacją wielu baz, które były dostępne w Internecie już wcześniej. Słowem – nie ma powodu do paniki ani szczególnych obaw, bo nawet jeśli Twoje dane znajdują się w Collection #1 to znaczy, że krążyły po Internecie już wcześniej.

Co robić?

Wszystkim zaniepokojonym polecamy odwiedzić polecaną przez Troya Hunta stronę Have I Been Pwnd? – dodane zostały już do niej dane z Collection #1 (jest to jak dotąd największa obsługiwana tam baza) i każdy może sprawdzić, czy jego dane są bezpieczne. Serwis wyszczególnia nawet, kiedy i z jakiego serwisu wyciekł dany adres e-mail czy hasło. To zaś pozwala na identyfikację niezabezpieczonych kont i zmianę danych logowania.