A brit hatóságok át is adták mindet a Have I Been Pwned szolgáltatásnak, amelynek révén az internet-felhasználók ellenőrizhetik, hogy nem szivárogtak-e ki a személyes adataik.

A brit FBI-nak is nevezett NCA és annak kiberbűnözés elleni egysége összesen 225 millió ellopott mailcímet és jelszót fedezett fel egy "meg nem nevezett, kompromittált cloud tárhelyen". A hivatalos tájékoztatás szerint a hatóságok a közelmúltbeli operatív tevékenységük során azonosították a hatalmas mennyiségű, potenciálisan feltört hitelesítési információt, annak elemzése során pedig világossá vált, hogy ismert és eddig ismeretlen incidensek nyomán kiszivárgott adatkészleteket tartalmaz. A bűnözők egyébként több mint 40 ezer fájlt töltöttek fel a szóban forgó szerverekre, amelyek között a jelszavakat is megtalálták.

Az a tény, hogy ismeretlenek elhelyezték ezeket egy egyesült királyságbeli vállalkozás felhőtárolójában, ugyanakkor azt is jelenti, hogy a hitelesítő adatokat most már nyilvánosnak kell tekinteni, mivel a tárolóhoz harmadik felek is hozzáférhettek. A csalások vagy számítógépes bűncselekmények megelőzősére ezért ajánlatos felfüggeszteni minden olyan jelszó használatát, amelykik szerepel a most megtalált rekordok között.

Hogy pontosan ki lehet érintett a dologban, az könnyen kideríthető, mert az ügynökség átadta az adatokat a Have I Been Pwnednek (HIBP) szolgáltatásnak, amely az ellopott vagy más módon kiszivárgott hitelesítő adatok nyomon követésére szolgál. A 225 millió jelszó az HIPB meglévő törzsének (Pwned Passwords) részévé válik, amelyik így már majdnem 850 millió tételt tartalmaz, sőt az előfordulási arányok figyelembe vételével több mint 5,5 milliárd feltört jelszónak felel meg.

Nem minden jelszó egyhasználatos

Ez azért is fontos, mert nem csak az egyes internetezők használhatják arra az HIPB oldalát, hogy megnézzék, kiszivárogtak-e az azonosítóik valamilyen korábbi jogsértés során, hanem a webhelyek üzemeltetői is megakadályozhatják, hogy a felhasználók a listán szereplő kombinációkat válasszák az új fiók létrehozása során. Ez az úgynevezett credential stuffing módszer elleni védekezést szolgálja, amikor az erősebb biztonsági megoldásokat alkalmazó célpontok elleni támadásokhoz a gyengébben védett felületekről megszerzett fiókadatokkal és jelszavakkal kísérletezgetnek a bűnözők.

Az eljárás a mai napig meglepően hatékony: az FBI szerint például 2017 óta már legalább 50 ezer online bankszámlához sikerült hozzáférni a segítségével, mert sokan még mindig ugyanazt a jelszót használják több fiók védelmére. A technika egy évtizeddel ezelőtt vált különösen problémássá, amikor több milliárd hitelesítő adat szivárgott ki a netre, így a támadók óriási adatkészlethez jutottak, hogy teszteljék a bankszámlákat, az online játékszámlákat vagy a céges alkalmazotti fiókokat.

Az HIBP üzemeltetői időközben megerősítették, hogy az újabb, összesen több mint 17 gigabájtnyi hitelesítő adat egy része még nem szerepelt a Pwned Passwords eddig meglévő adatai között. A szolgáltatást létrehozó és gondozó Troy Hunt ezúttal is hangsúlyozta, hogy az NCA vagy más szervezetek által rendelkezésére bocsátott jelszavakat valójában nem ő vagy az HIBP kapja meg, hanem a teljes internetes közösség, hogy az ajánlások mentén hatékonyan csökkenthesse a credential stuffing támadások kockázatait.

Biztonság

Spanyol tudósok: a túlóra nem hogy káros, hanem egyenesen építő

Ha angol tudósok jöttek volna ezzel, meg sem lepődnénk. De épp a szieszta hagyományát mind a mai napig ápoló spanyolok?!
 
Hirdetés

Hazánk régiós SolarWinds-központ lett

A SolarWinds és a RelNet megállapodása révén utóbbi magas színvonalú szolgáltatásokat nyújt régiónkban a SolarWinds viszonteladói és ügyfelei számára.

Manufacture IT

Az 5G legnagyobb nyertesei az ipari vállalkozások

MEGNÉZEM »

a melléklet támogatója a Vodafone

Igen, ahogy mindenki mondja: sokba, nagyon sokba. De közel sem csak a fizetése miatt. A költségekhez hozzá kell számolni a növekvő kiválasztási költségeket – és a magas fluktuációt.

a melléklet támogatója a Mndwrk

A KPMG immár 22. alkalommal kiadott CIO Survey jelentése szerint idén az informatikai vezetők leginkább a digitalizációra, a biztonságra és a szoftverszolgáltatásokra koncentráltak.

Használtszoftver-kereskedelem a Brexit után

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.