A héten felpörögtek az adattolvajok. Erős kezdéssel hétfőn egyből az orosz piacot vezető Yandextől szivárogtak ki felhasználói postafiókokhoz tartozó hitelesítő adatok, jelszavak, amiket le is lehetett tölteni egy weboldalról. Kedden még mindig Oroszország volt a sláger: jött a Mail.ru e-mail szolgáltató, melynek szerveréről szintén szép számban szivárogtak ki felhasználók fiókadatai.

Szerdán pedig jött a Gmail... De ott is volt orosz szál. Az adatszivárgási incidensekről a Biztonságportál készített összefoglalót.

Elavult a lista...

A hét közepén ötmillió Gmail-felhasználó hozzáférési adatát tekinthette meg bárki egy orosz Bitcoin fórumon. Az adatállományt egy "Tvskit" becenéven regisztrált személy töltötte fel, aki azt állította, hogy a listában található fiókok mintegy 60 százaléka jelenleg is aktív.

Amikor a Google felfigyelt a listára, azonnal vizsgálatot indított, ami kiderítette: Tvskit listájának kevesebb mint 2 százaléka olyan adat, ami aktív fiókhoz tartozik. A cég állítását erősíti a dán CSIS Security Group véleménye is: szerintük legalább hároméves adatbázisról van szó.

A címlistákat még elemzik, de annyi már tudható, hogy az abban szereplő adatok elsősorban angol, spanyol és orosz nyelvterületeken élő felhasználókhoz kötődnek.

Akiben felmerült a gyanú, hogy esetleg érintett lehet az incidensben, a ';--have i been pwned? nevű weboldalon egyszerűen ellenőrizheti. Az oldal adatbázisa ugyan nem teljes körű, de így is rengeteg, több mint 168 millió kompromittált felhasználói fiókról tartalmaz bejegyzéseket. (Az ausztrál Troy Hunt biztonsági projektjét egy kattintásnyira mutattuk be részletesen.)

Nem minket törtek fel...

A Google azt is hangsúlyozta, hogy a címek nem a rendszeréből került ki. Az infrastruktúráját nem érte olyan támadás, amely végül ezeknek az adatoknak a kiszivárgását eredményezhette volna. És érdekes módon ugyanezt állítja a Yandex és a Mail.ru is.

A lopott adatok vélhetően végpontokról jutottak a tolvajok birtokába kártékony programok közreműködésével vagy adathalász támadások során. Erre gyanakszik egyébként a biztonsági kutatók többsége is: klasszikus, jól megtervezett kiberbűnözői tevékenységgel "gyűjtötték be" az adatokat.

Persze a lista nyilvánosságra kerülése ettől még valós veszélyt jelent, mert sokan ugyanazt a formulát használják e-mail címre, sőt ugyanazzal a felhasználónévvel és jelszóval regisztrálnak különféle szolgáltatásoknál. Például gipszajakab11 előtagot használnak Gmailben, Hotmailben, Freemailben és így tovább, és a jelszó minden esetben – már csak azért is, hogy véletlenül se keverjék össze – password123, ami egyébként a céges levelekhez is hozzájuttatja a delikvens, illetve ilyenkor lényegében akárkit. Így habár a lista legtöbb adata a Google rendszerében talán már nem érvényes, más szolgáltatásokhoz, alkalmazásokhoz még jól jöhet a kiberbűnözőknek.

A biztonsági szakemberek az eset kapcsán ismét a jelszavak biztonságos kezelésére és a többfaktoros – például SMS vagy mobil appra épülő – azonosítás bevezetésére buzdítanak. Ennek elterjedése már csak azért is fontos lenne, mert nem csak az adatlopások száma szaporodott. Legalább ilyen probléma, hogy egy-egy incidens során egyre nagyobb mennyiségben kerülnek illetéktelen kezekbe bizalmas adatok.