17

21 milionów danych do kont hula w darknecie. A w nich… niespodzianka

21 040 296 - właśnie tyle danych do kont udało się przejąć cyberprzestępcom. Chodzi o wiele różnych serwisów - przede wszystkim ze spółek notowanych na liście Fortune 500 - nie są to więc malutkie serwisu e-commerce'owe, lecz potężni giganci. Przy okazji, badacze ds. cyberbezpieczeństwa dokonali jednocześnie śmiesznego i smutnego zarazem odkrycia.

Badacze konstruując tę bazę odsiali za pomocą uczenia maszynowego wszelkie „fejki”, duplikaty oraz domyślne kombinacje login / hasło. Oznacza to więc, że wyciekło dokładnie tyle kombinacji, ile zaznaczyliśmy w leadzie. Naruszenie bezpieczeństwa cybernetycznego danych wewnątrz firm dotyczy tych z sektorów: finansowego, technologicznego, zdrowotnego, przemysłowego, energetycznego, telekomunikacyjnego i kilku innych.

Czytaj więcej: Komu podpadła Wikipedia?

Najsłabsze hasła znaleziono w sektorze sprzedaży detalicznej – tam odsetek mało wymagających dla cyberprzestępców ciągów wynosił aż 47,29 procent. W innych zdecydowanie nie było lepiej: w zależności od branży, udział słabych haseł wynosił od 37,57 – 32,56 procenta. Naprawdę, sporo.

Z jakich haseł korzystano?

Z paskudnie prostych wręcz. Nie wyobrażam sobie ustawić hasła takiego jak „password” lub „passw0rd”. A tymczasem, użytkownicy ustawiali właśnie takie, a nawet inne, znacznie gorsze. „111111” to żadne hasło, „123456” to również żaden problem dla bruteforce’owych automatów, „welcome” to wręcz zaproszenie do tego, aby komuś przejąć konto. Serio, nie wiem o czym myślą ludzie, którzy decydują się na ustawienie sobie takiego hasła. To już nawet nie oznaka niedouczenia, to wręcz brak „RiGCz-u” (Rozumu i Godności Człowieka).

kont

Autorzy raportu, eksperci z ImmuniWeb utrzymują, że najpopularniejszym hasłem w większości przypadków był właśnie ciąg „password”. Niezwykle głupie podejście ze strony użytkowników.

Niewiedza? Lenistwo? Co jeszcze indukuje taką niefrasobliwość?

Powiedziałbym, że jeszcze głupota, ale obraziłbym pewnie kogoś, kto właśnie przegląda ten wpis i korzysta z takiego właśnie ciągu (oby nie…). Równie dobrym pomysłem jest ustawienie „hasło” jako ciąg zabezpieczający. Całe szczęście, wiele serwisów wręcz wymaga od użytkowników tego, by ustawili coś znacznie lepszego. W takich sytuacjach właściciele kont i tak kombinują, wplatając do haseł swoje dane osobowe – począwszy od ulic na których mieszkają, a skończywszy na nazwach miejscowości. Cyberprzestępcy mają co prawda trochę więcej roboty, ale to i tak bardzo głupie rozwiązanie.

Nie wiem z czego wynika tak ogromna niefrasobliwość użytkowników, ale sądzę, iż nie wierzą oni, że mogą paść ofiarą ataku cybernetycznego. Przyjmują bardzo niesłuszną tezę: „któż by chciał mnie zaatakować? Przecież nic nie znaczę”?. Uwierz, znaczysz bardzo wiele, jeżeli korzystasz z internetu na co dzień, masz konto w banku i obsługujesz je za pomocą bankowości internetowej. Niewiedza + przekonanie o swoim bezpieczeństwie to najważniejsze czynniki, które powodują, że ludzie wpadają nawet w najbardziej trywialne z naszego punktu widzenia pułapki. To zdecydowanie powinno się zmienić.