Lepiej zmieńcie hasło do poczty e-mail. Wyciekły dane logowania ponad 10 mln polskich internautów

Daniel Maikowski
Hasła do ponad 10 milionów polskich kont e-mail zostały udostępnione w sieci bez szyfrowania. Mógł je pobrać praktycznie każdy, kto dysponował odpowiednim adresem. Jak sprawdzić czy nie padliśmy ofiarą wycieku?

O gigantycznym wycieku danych dotyczących polskich internautów poinformował serwis Zaufana Trzecia Strona. Jak się okazuje, był on częścią znacznie większego wycieku, który objął ponad 1,4 mld kont poczty elektronicznej. Wszystkie hasła zostały zapisane tekstem jawnym, co oznacza, że nie zostały w żaden sposób zaszyfrowane.

W gigantycznej bazie danych, do której z oczywistych względów linkować nie będziemy, znajduje się ponad 13 mln kont e-mail znajdujących się w domenie .PL. Oznacza to, że polskich internautów, którzy padli ofiarą wycieku może być jeszcze więcej, gdyż wielu użytkowników korzysta również z zagranicznych usług e-mail, takich jak choćby Gmail.

Eksperci z serwisu Zaufana Trzecia Strona przeanalizowali dane dotyczące wycieku i przedstawili kilka bardzo interesujących statystyk. Wśród ofiar wycieku największą grupę stanowią użytkownicy poczty elektronicznej w następujących domenach:

  • wp.pl
  • interia.pl
  • o2.pl
  • op.pl
  • tlen.pl
  • vp.pl
  • poczta.onet.pl
  • onet.pl
  • buziaczek.pl

Najpopularniejsze hasła stosowane przez internautów, którzy padli ofiarą wycieku, pokazują, że nasze podejście do bezpieczeństwa w sieci wciąż jest mało poważne:

Oto 10 najpopularniejszych "polskich" haseł:

  • 123456
  • qwerty
  • 123456789
  • 12345
  • zaq12wsx
  • polska
  • 111111
  • 1234
  • misiek
  • monika

Co ciekawe, ofiarą wycieku padli nie tylko "zwyczajni" internauci, ale również osoby, które powinny w szczególny sposób dbać o swoje bezpieczeństwo w internecie. 

W bazie skradzionych haseł znajduje się aż 3 347 haseł w domenie *.gov.pl, 130 haseł w domenie *.policja.gov.pl i 30 haseł w domenie *.mon.gov.pl. Oprócz tego znajdziemy tu również domeny *.sejm.gov.pl; *.prezydent.pl; *.pzu.pl czy *.orlen.pl

Jak sprawdzić czy padliśmy ofiarą wycieku?

Na stronie "have i been pwned?" znajdziemy inne przydatne i bezpieczne narzędzie, które pozwoli nam sprawdzić, czy należące do nas konta internetowe padły ofiarą, któregoś z dużych wycieków. Wystarczy wpisać swój adres e-mail w tę wyszukiwarkę.

Po wpisaniu mojego prywatnego adresu e-mail okazało się, że w ostatnich latach hakerzy mogli przejąć mój login i hasło do serwisów Dropbox, last.fm i Tumblr.

Jak ochronić się przed kradzieżą konta?
 
Zasada 1 – Silne hasło

To brzmi jak truizm. W podobny sposób rozpoczyna się zresztą 99 proc. poradników dotyczących bezpieczeństwa w sieci. Sęk w tym, że większość internautów wciąż  kompletnie lekceważy tę zasadę. Z najnowszych danych firmy Splash Data wynika, że trzy najczęściej stosowane hasła w 2015 roku to: „123456”, „password” i „12345678”.

Silne hasło powinno składać się z kilkunastu znaków, a wśród nich małych i dużych liter, cyfr i znaków specjalnych. Warto pamiętać o zasadzie jedno konto = jedno hasło. Korzystanie z tego samego hasła do wszystkich usług, to prezent dla przestępców. To tak, jakbyśmy wręczyli im uniwersalny klucz do naszej sieciowej tożsamości.

Zasada 2 – Bezpieczne hasło

Dbaj o swoje hasło i nikomu go nie udostępniaj. Fatalnym pomysłem jest zapisywanie go w publicznie dostępnych miejscach, jak również w chmurze (Google, Docs, Evernote czy też Dropbox). Pod żadnym pozorem nie wysyłaj hasła e-mailem. W przypadku, gdy zapomniałeś hasła i korzystasz z funkcji jego przypomnienia, zapamiętaj nowe hasło, a następnie usuń otrzymaną wiadomość (również z kosza).

Pamiętaj o tym, aby dbać nie tylko o hasło, ale również adres e-mail. Staraj się go nie publikować na stronach internetowych i  w serwisach społecznościowych. Uchroni cię to nie tylko przed kradzieżą danych logowania, ale i również przed zalewem spamu.

Zasada 3 – Zwracaj uwagę na HTTPS

Jeśli do swojego klienta poczty e-mail logujesz się z poziomu przeglądarki internetowej (tzw. Webmail), to upewnij się, że połączenie z serwerem jest szyfrowane. W przypadku takiego połączenia adres strony rozpoczyna się od „https”. Zwróć uwagę na symbol zielonej kłódki w lewym rogu paska adresu, kliknij w nią i zweryfikuj czy certyfikat jest aktualny i czy został wystawiony firmie, z której usługi korzystasz.

Jeśli korzystasz z Webmaila w miejscu publicznym, pamiętaj o wylogowaniu się po zakończeniu sesji. Pamiętaj również, że przeglądarki często oferują zapamiętanie nazwy i użytkownika i hasła logowania – pod żadnym pozorem się na to nie zgadzaj. Jeśli chcesz uniknąć kłopotów z tym związanych, najlepiej uruchom przeglądarkę w trybie prywatnym (Chrome – tryb Incognito; Firefox – tryb prywatny; IE – tryb InPrivate).

Zasada 4 – Aktywuj dwuetapową weryfikację konta

Taką usługę oferuję większość popularnych dostawców usług e-mail. Weryfikacja dwuetapowa stanowi dodatkową warstwę zabezpieczającą konto. Podczas logowania użytkownik musi wpisać nie tylko nazwę użytkownika i hasło, lecz także kod weryfikacyjny wysyłany SMS-em na numer telefonu podany przy rejestracji. W przypadku Gmaila można również skorzystać z aplikacji mobilnej Google Authenticator.

Zasada 5 – Uważaj na podejrzane e-maile

Ostrożność i zdrowy rozsądek to najlepsza broń w walce z potencjalnymi zagrożeniami w sieci. Zawsze, gdy otrzymasz na swoją skrzynkę podejrzanego e-maila, odpowiedz sobie na pięć prostych pytań:

Czy znasz nadawcę wiadomości?

Czy otrzymywałeś już inne wiadomości od tego nadawcy?

Czy spodziewałeś się otrzymać tę wiadomość?

Czy tytuł wiadomości i nazwa załącznika mają sens?

Czy wiadomość nie zawiera złośliwego oprogramowania?

Jeśli odpowiedź na któreś z powyższych pytań brzmi „NIE”, to nie otwieraj e-maila ani jego załączników i nie odpowiadaj nadawcy.

Pamiętaj również o tym, że banki, firmy oferujące usługi związane z płatnościami on-line, jak również serwisy społecznościowe nigdy nie wysyłają do klientów wiadomości, w których proszą ich o podania haseł logowania czy innych wrażliwych danych. Jeśli otrzymałeś takiego e-maila, to jego nadawcą jest prawdopodobnie oszust.

Co łączy SMS-y i alfabet Morse'a?

Więcej o:
Komentarze (85)
Wyciekły hasła ponad 10 mln polskich internautów
Zaloguj się
  • madfreak

    0

    Tytuł: Wyciekły dane logowania ponad 10 mln polskich internautów

    Artykuł: Hasła do ponad 10 milionów polskich kont e-mail zostały udostępnione w sieci bez szyfrowania.

    Żeby można było mieć tylko jedno konto e-mail to bym to jeszcze zrozumiał... Ale sam używam 5ciu.. Więc nijak mi się tytuł artykułu nie klei z treścia...

  • malkontent58

    Oceniono 1 raz 1

    a kto mi zagwarantuje, że przy sprawdzaniu sami nie ukradniecie mi hasła, które dotąd było bezpieczne??

  • lactum

    Oceniono 1 raz 1

    A nie mozna tak gmail.com? Tam nie wycieka.

  • jack_flash

    Oceniono 1 raz 1

    Jesli ktos korzysta z poczty w "buziaczek.pl", no to ma sie rozumienc musi miec haslo "Misiaczek". To chyba oczywiste :))))

  • gaz-eciarz

    Oceniono 1 raz 1

    Dlaczego w ciągu artykułów portalu NEXT komentarze dostępne są wyłącznie do pierwszego artykułu, zaś do pozostałych artykułów nie, mimo że są to pełne artykuły? Dlaczego do dalszych artykułów nie ma odnośników jeżeli intencją projektanta tego badziewiastego portalu było zareklamowanie innych artykułów? Czy w ogóle ktokolwiek poza samymi użytkownikami testuję tą witrynę, żeby zauważyć jaki to badziew organizacyjny?

  • maxstirner

    Oceniono 1 raz 1

    Większość tych danych pochodzi z bezwartościowych obecnie dumpów mających po 10 lat i wiecej. Kto miał tego użyć zrobił to dawno i nie pamieta. Jak to zwykle na Gw - zrzynane teksty z czwartej ręki, scaremongering i clickbajt.
    Inna rzecz, że nie sądze by nawyki hasłowe Januszków sie zmieniły nawet na jote.

  • reksio_1967

    Oceniono 2 razy 2

    pytanie jak beznadziejnie są zabezpieczone wymienione serwisy jeżeli umożliwiają łamanie haseł poprzez bruteforce :( bo zakładam, że hasła nie leżą w bazie jako plaintext ?

  • humidorek

    Oceniono 2 razy 2

    Ależ bzdury z tymi silnymi hasłami. Od 20 lat nikt mi się nie włamał na skrzynkę poprzez złamanie hasła, za to od kilku lat co ok miesiąc słyszymy o wyciekach haseł z serwisów. To same serwisy są niezabezpieczone i niebezpieczne, a nie "proste hasła". Co mi z tego, ze będę miał silne hasło, jak i tak wypłynie z danego serwisu przez partactwo jego adminów?

Aby ocenić zaloguj się lub zarejestrujX