O gigantycznym wycieku danych dotyczących polskich internautów poinformował serwis Zaufana Trzecia Strona. Jak się okazuje, był on częścią znacznie większego wycieku, który objął ponad 1,4 mld kont poczty elektronicznej. Wszystkie hasła zostały zapisane tekstem jawnym, co oznacza, że nie zostały w żaden sposób zaszyfrowane.
W gigantycznej bazie danych, do której z oczywistych względów linkować nie będziemy, znajduje się ponad 13 mln kont e-mail znajdujących się w domenie .PL. Oznacza to, że polskich internautów, którzy padli ofiarą wycieku może być jeszcze więcej, gdyż wielu użytkowników korzysta również z zagranicznych usług e-mail, takich jak choćby Gmail.
Eksperci z serwisu Zaufana Trzecia Strona przeanalizowali dane dotyczące wycieku i przedstawili kilka bardzo interesujących statystyk. Wśród ofiar wycieku największą grupę stanowią użytkownicy poczty elektronicznej w następujących domenach:
- wp.pl
- interia.pl
- o2.pl
- op.pl
- tlen.pl
- vp.pl
- poczta.onet.pl
- onet.pl
- buziaczek.pl
Najpopularniejsze hasła stosowane przez internautów, którzy padli ofiarą wycieku, pokazują, że nasze podejście do bezpieczeństwa w sieci wciąż jest mało poważne:
Oto 10 najpopularniejszych "polskich" haseł:
- 123456
- qwerty
- 123456789
- 12345
- zaq12wsx
- polska
- 111111
- 1234
- misiek
- monika
Co ciekawe, ofiarą wycieku padli nie tylko "zwyczajni" internauci, ale również osoby, które powinny w szczególny sposób dbać o swoje bezpieczeństwo w internecie.
W bazie skradzionych haseł znajduje się aż 3 347 haseł w domenie *.gov.pl, 130 haseł w domenie *.policja.gov.pl i 30 haseł w domenie *.mon.gov.pl. Oprócz tego znajdziemy tu również domeny *.sejm.gov.pl; *.prezydent.pl; *.pzu.pl czy *.orlen.pl
Jak sprawdzić czy padliśmy ofiarą wycieku?
Na stronie "have i been pwned?" znajdziemy inne przydatne i bezpieczne narzędzie, które pozwoli nam sprawdzić, czy należące do nas konta internetowe padły ofiarą, któregoś z dużych wycieków. Wystarczy wpisać swój adres e-mail w tę wyszukiwarkę.
Po wpisaniu mojego prywatnego adresu e-mail okazało się, że w ostatnich latach hakerzy mogli przejąć mój login i hasło do serwisów Dropbox, last.fm i Tumblr.
Jak ochronić się przed kradzieżą konta?
Zasada 1 – Silne hasło
To brzmi jak truizm. W podobny sposób rozpoczyna się zresztą 99 proc. poradników dotyczących bezpieczeństwa w sieci. Sęk w tym, że większość internautów wciąż kompletnie lekceważy tę zasadę. Z najnowszych danych firmy Splash Data wynika, że trzy najczęściej stosowane hasła w 2015 roku to: „123456”, „password” i „12345678”.
Silne hasło powinno składać się z kilkunastu znaków, a wśród nich małych i dużych liter, cyfr i znaków specjalnych. Warto pamiętać o zasadzie jedno konto = jedno hasło. Korzystanie z tego samego hasła do wszystkich usług, to prezent dla przestępców. To tak, jakbyśmy wręczyli im uniwersalny klucz do naszej sieciowej tożsamości.
Zasada 2 – Bezpieczne hasło
Dbaj o swoje hasło i nikomu go nie udostępniaj. Fatalnym pomysłem jest zapisywanie go w publicznie dostępnych miejscach, jak również w chmurze (Google, Docs, Evernote czy też Dropbox). Pod żadnym pozorem nie wysyłaj hasła e-mailem. W przypadku, gdy zapomniałeś hasła i korzystasz z funkcji jego przypomnienia, zapamiętaj nowe hasło, a następnie usuń otrzymaną wiadomość (również z kosza).
Pamiętaj o tym, aby dbać nie tylko o hasło, ale również adres e-mail. Staraj się go nie publikować na stronach internetowych i w serwisach społecznościowych. Uchroni cię to nie tylko przed kradzieżą danych logowania, ale i również przed zalewem spamu.
Zasada 3 – Zwracaj uwagę na HTTPS
Jeśli do swojego klienta poczty e-mail logujesz się z poziomu przeglądarki internetowej (tzw. Webmail), to upewnij się, że połączenie z serwerem jest szyfrowane. W przypadku takiego połączenia adres strony rozpoczyna się od „https”. Zwróć uwagę na symbol zielonej kłódki w lewym rogu paska adresu, kliknij w nią i zweryfikuj czy certyfikat jest aktualny i czy został wystawiony firmie, z której usługi korzystasz.
Jeśli korzystasz z Webmaila w miejscu publicznym, pamiętaj o wylogowaniu się po zakończeniu sesji. Pamiętaj również, że przeglądarki często oferują zapamiętanie nazwy i użytkownika i hasła logowania – pod żadnym pozorem się na to nie zgadzaj. Jeśli chcesz uniknąć kłopotów z tym związanych, najlepiej uruchom przeglądarkę w trybie prywatnym (Chrome – tryb Incognito; Firefox – tryb prywatny; IE – tryb InPrivate).
Zasada 4 – Aktywuj dwuetapową weryfikację konta
Taką usługę oferuję większość popularnych dostawców usług e-mail. Weryfikacja dwuetapowa stanowi dodatkową warstwę zabezpieczającą konto. Podczas logowania użytkownik musi wpisać nie tylko nazwę użytkownika i hasło, lecz także kod weryfikacyjny wysyłany SMS-em na numer telefonu podany przy rejestracji. W przypadku Gmaila można również skorzystać z aplikacji mobilnej Google Authenticator.
Zasada 5 – Uważaj na podejrzane e-maile
Ostrożność i zdrowy rozsądek to najlepsza broń w walce z potencjalnymi zagrożeniami w sieci. Zawsze, gdy otrzymasz na swoją skrzynkę podejrzanego e-maila, odpowiedz sobie na pięć prostych pytań:
Czy znasz nadawcę wiadomości?
Czy otrzymywałeś już inne wiadomości od tego nadawcy?
Czy spodziewałeś się otrzymać tę wiadomość?
Czy tytuł wiadomości i nazwa załącznika mają sens?
Czy wiadomość nie zawiera złośliwego oprogramowania?
Jeśli odpowiedź na któreś z powyższych pytań brzmi „NIE”, to nie otwieraj e-maila ani jego załączników i nie odpowiadaj nadawcy.
Pamiętaj również o tym, że banki, firmy oferujące usługi związane z płatnościami on-line, jak również serwisy społecznościowe nigdy nie wysyłają do klientów wiadomości, w których proszą ich o podania haseł logowania czy innych wrażliwych danych. Jeśli otrzymałeś takiego e-maila, to jego nadawcą jest prawdopodobnie oszust.
