Troy Hunt már öt éve üzemelteti a Have I Been Pawned? oldalt, amely igyekszik a lehető legátfogóbb adatbázisként működni a világban történt adatlopásokkal kapcsolatban. Az ausztrál mérnök munkájának hála így mindenki pillanatok alatt ellenőrizheti, hogy email címe, vagy használt jelszavai illetéktelen kezekbe kerültek-e egy-egy biztonsági incidens következtében. Hunt az egymást követő elektronikus betörések miatt sajnos gyorsan és folyamatosan tudja bővíteni oldala adatbázisát. A héten felkerült frissítés viszont méretéből fakadóan mindenképp külön figyelmet érdemel.

A legdurvább kollekció

A szakember saját oldalán részletes bejegyzést szentelt a csak Collection #1-ként emlegetett gyűjteménynek. A hatalmas, több mint 12 ezer külön fájlból álló, összesen 87 gigabájtot felölelő adathalmazt a Mega cloudos tárhelyszolgáltató rendszeréből lehetett bárkinek letöltenie - legalábbis egy ideig. A csomag igazi aranybánya lehet a bűnözőknek, ugyanis úgy tűnik, hogy az elmúlt évek különböző adatlopási incidenseinek "gyümölcseit" gyűjtötték így egybe.

Hunt igyekezett rendet vágni a több szempontból sem tökéletesen strukturált adattengeren, és arra jutott, hogy a Collection #1 nagyjából 773 millió (!) egyedi emailcímet és több mint 21 millió egyedi jelszót tartalmaz. Ezeket a bődületes számokat olvasva nincs is mit csodálkozni azon, hogy a kollekció a Have I Been Pwned oldal legnagyobb bővítését adta.

Érdekesség, hogy Hunt a saját adatait is megtalálta a vizsgált állományok között. Igaz, hogy évekkel ezelőtt használt címekről és jelszavakról van szó, de ennek ellenére ugyanúgy rossz érzéssel töltötte el, mint valószínűleg bárkit, aki rájön, hogy személyes adatait a neten adják körbe.

Ami az ellenőrzést illeti, Hunt oldalán nem csak a levélcímeket, hanem a kompromittálódott jelszavakat is le lehet kérdezni. Pontosabban az ügymenet az, hogy a látogató beírhat egy címet, kódot, az oldal pedig kikeresi neki, hogy szerepel-e ez a konkrét adat a gyűjteményben, és ha igen, akkor milyen incidensekkel összefüggésben.

Jobb félni

Amennyiben személyes információink kompromittálódtak, úgy mindenképpen érdemes legalább a jelszavainkat lecserélni minden lehetséges helyen. Itt rögtön tehetünk egy újabb lépést a biztonságunk erősítésére azzal, hogy a különböző szolgáltatásokhoz eltérő jelszavakat adunk meg. Az erős, nem szótári szavakból, különböző karaktertípusokból álló jelszavakat azonban nem sokan tudják fejben tartani, ha tucatnál is több ilyet kell használni. Erre jelenthet megoldást valamelyik jelszókezelő alkalmazás, mint amilyen egyébként a Have I Been Pwned oldalán ajánlott 1Password, de említhető egy sor más is, például a pár éve a LogMeIn által felvásárolt LastPass.

A fontosabb szolgáltatóknál ma már szinte kivétel nélkül elérhető valamilyen többfaktoros azonosítási rendszer. Ezek használatával nagyban csökkenthető a visszaélés rizikója, hiszen pusztán a jelszó megszerzése nem lesz elég ahhoz, hogy illetéktelenek hozzá tudjanak férni a felhasználói fiókunkhoz.

Hunt oldalán egyébként automatikus riasztásra is fel lehet iratkozni. Azaz ha egy frissítést követően eddig tiszta címünk rákerül az oldal adatbáziásra, akkor azonnal érkezik a levél a postaládánkba erről.