Чему учит крупнейшая утечка email в истории. Как защитить ящик и пароль от кражи

Терабайт краденых email и 4 правила кибербезопасности

Трой Хант, эксперт по кибербезопасности и основатель ресурса HaveIBeenPwned, сообщил о самой большой утечке email-адресов в истории: в свободный доступ попало 773 млн адресов и 21 млн паролей.

Впервые пользовательские данные появились на ресурсе MEGA. Архив весил 87 Гб, включал 12 тыс. файлов, в которых было 2,7 млрд строк с адресами и паролями. С MEGA файл быстро удалили, но к тому моменту он уже успел разлететься по интернету.

После очистки файла от дублей и недействительных адресов, осталось 773 млн email и 21 млн паролей. Трой Хант назвал файл с данными «Коллекцией №1».

Кому переживать

В сеть утекли не только зарубежные данные: в файлах есть email-ы пользователей из России, Украины и других стран СНГ. Например, я нашёл в базе один из своих email-адресов.

Специалисты из Group-IB считают, что реальный масштаб утечки ещё больше. На одном из хакерских форумов они обнаружили пользователя под ником Clorox, который продавал «полную» базу данных. По его словам, «Коллекция №1» — уже отработанные хакерами адреса, вся же база весит около 1 Тб.

Как проверить, есть ли email в списке

Эксперт по кибербезопасности Трой Хант создал сайт HaveIBeenPwned. Это огромная база из email-адресов и паролей, которые когда-либо сливали в сеть. Новая утечка уже там.

Как проверить свой email:

  1. Заходим на HaveIBeenPwned.
  2. Вбиваем адреса своих ящиков.
  3. Проверяем, появлялся ли адрес хоть раз в свободном доступе.
Всё ок — email не появлялся в открытом доступе
А этот email когда-то попал в открытый доступ

Также на сайте можно проверить свой домен и пароли.

Как защитить свой email и пароль

Если вы обнаружили свой электронный ящик или пароль на HaveIBeenPwned, смените их. Сделать это нужно на всех ресурсах, где используется ящик или пароль (не обязательно их сочетание).

Предотвратить утечку данных в будущем можно с помощью 4 простых правил. Вот что советуют в издании Wired, чтобы защитить адреса и пароли:

  1. Не использовать один и тот же пароль дважды. Если у мошенников будет старый пароль, они попытаются взломать новый аккаунт с помощью подбора.
  2. Использовать менеджер паролей. Это программа, которая хранит все данные для входа в одном месте. Примеры таких программ: Enpass, Dashlane, 1Password. Вам нужно знать только один пароль — для входа в приложение.
  3. Старайтесь не вводить пароль на компьютерах для общего пользования. Например, в университете или интернет-кафе. Неизвестно, какие программы-шпионы могут на них стоять.
  4. Используйте двойную аутентификацию, где это возможно. Чтобы зайти в учётную запись, которая защищена двойной аутентификацией, нужно вводить 2 пароля. Например, пароль для входа и секретный код с телефона.
Этап 1. Ввожу свой пароль
Этап 2. Ввожу код-подтверждение с телефона

FAQ

Можно ли при регистрации авторизоваться через соцсети, это безопасно?

При такой авторизации сайт должен раскрыть, какую информацию он будет собирать из соцсетей. Если это открыто не указано при авторизации, лучше заглянуть в Пользовательское соглашение сайта. Размытые формулировки или отсутствие Пользовательского соглашения — повод придумать уникальный логин и пароль (или просто закрыть сайт).

Где лучше всего хранить пароли?

В менеджере паролей (Enpass, Dashlane, 1Password). Эта программа шифрует все данные для входа, чтобы обезопасить их от утечки. Если злоумышленники получат доступ к файлам программы, то на их дешифровку уйдёт много времени. Хватит, чтобы вы успели сменить пароль и логин.

Главное требование — придумать надёжный пароль для самого менеджера паролей.

Можно ли оставлять свои данные на сайтах, когда подписываешься на рассылку?

Да, если от вас не требуют секретной информации: паролей или номеров кредитных карт. Проверьте, есть ли на сайте Политика конфиденциальности — документ, который описывает порядок работы с персональными данными. В нём говорится, как сайт хранит, обрабатывает и распоряжается информацией, которую собрал у пользователей. Обычно ссылка на Политику конфиденциальности есть под формой подписки.

А с сервисами рассылки что? В них ведь хранятся миллионы адресов пользователей!

Без паники — безопасность данных пользователей регламентируется Политикой конфиденциальности сервисов рассылки.

Что мы делаем в UniSender, чтобы обезопасить пользовательские данные:

  • Каждый день проверяем вероятность несанкционированного доступа к данным подписчиков.
  • Периодически массово сбрасываем пароли для входа в аккаунт.
  • Меняем значения API-ключей.

Волноваться о безопасности данных — нормально. Мы подготовили большую статью, в которой отвечаем на популярные вопросы о безопасности базы подписчиков.

0
5 комментариев
Pavel Stoyanov

А не собирает ли почты сам сайт для проверки почт?

Ответить
Развернуть ветку
UniSender
Автор

У HaveIBeenPwned есть политика конфиденциальности, где написано, как сайт работает с пользовательскими данными. Если верить документу, то email пользователей нигде не хранятся и используются только для запроса в базу данных. Вот ссылка на политику: https://haveibeenpwned.com/Privacy

Ответить
Развернуть ветку
Konstantin Ivanov

ничему из перечисленного данная утечка не учит.

Ответить
Развернуть ветку
UniSender
Автор

Смотря с какой стороны посмотреть.

Предотвратить ещё одну утечку обычные пользователи, конечно, не смогут. Но если данные снова утекут в сеть, защититься будет проще: с помощью двойной аутентификации или уникальных паролей на разных сайтах. Надеемся, что виновники утечки тоже сделали выводы и работают над улучшением защитных механизмов на своих ресурсах.

Ответить
Развернуть ветку
Konstantin Ivanov

то есть утечка все же ничему не учит.

Ответить
Развернуть ветку
2 комментария
Раскрывать всегда