2,7 miliarda rekordów – blisko 773 miliony unikalnych adresów email i 21 milionów unikalnych haseł – to wszystko znalazło się w 87-gigabajtowej paczce usuniętej właśnie z MEGA. Zaraz po tym, jak ujawniono publicznie jej istnienie, ale przed tym, gdy ściągnęła ją nieznana liczba osób.
Collection #1 – tak się nazywał folder zawierający 12’000 plików z adresami email i rozkodowanymi hasłami, zbiór danych wyciągniętych z ponad 2 tysięcy systemów. Troy Hunt wrzucił listę nazw plików na pastebin, co daje ogólny pogląd na zawartość bazy. Troy zbiera dane o wyciekach haseł od lat. Z jego słów wynika, że 140 milionów adresów z nowego wycieku nie pojawiło się wcześniej u niego w bazie.
Jeśli chcesz sprawdzić, czy twój email znalazł się w nowym wycieku, sprawdź to w serwisie HaveIBeenPwned.com. Nie sprawdzisz tam, jakie hasło jest przypisane do danego wycieku – ale jeśli masz unikalne hasło i chcesz sprawdzić, czy pojawiło się gdziekolwiek w bazie Troya, możesz sprawdzić to tutaj. Uwaga – jak to zwykle bywa – podawanie swojego hasła na cudzym serwisie nie zawsze jest dobrym pomysłem. Więc koniecznie przemyśl, czy na pewno chcesz to zrobić.
Jak się bronić?
I znów odsyłam do swojego długiego monologu audio o bezpieczeństwie haseł: 48 odcinek podkastu Cyber Cyber jest poświęcony weryfikacji dwuetapowej (włącz) i temu, że nawet 2FA nie musi nas przed wszystkim bronić.
Obecnie najlepszymi metodami ochrony przed kradzieżą haseł są: włączenie weryfikacji dwuetapowej wszędzie, gdzie to możliwe, niekorzystanie z tego samego hasła w więcej niż jednym miejscu, korzystanie z menadżerów haseł (i pilnowanie ich przed kradzieżą) oraz korzystanie z kluczy kryptograficznych typu Google Titan czy Yubikey. Dzięki nim, nawet znajomość loginu i hasła nie otwiera przed włamywaczem naszego konta.
