Неизвестными хакерами на продажу были выставлены на продажу логины и пароли многих миллионов юзеров социальных сетей «Вконтакте», Twitter, LinkedIn и Tumblr. Как отмечают эксперты раздела «Новости Мира» журнала для инвесторов «Биржевой лидер», большая часть учетных записей имеют российское происхождение. К чему может привести столь серьезная утечка информации для рядовых пользователей и что можно сделать для того, чтобы гарантировать безопасность своей же странице?
Что произошло?
Как стало известно, некоторые известных хакеров, которых в западных изданиях (к примеру, Motherboard), принято называть российскими, один за другим решили выставить на продажу в даркнете сперва огромную базу учетных записей социальных сетей LinkedIn и Tumblr, а потом уже «Вконтакте» и Twitter.
Стоимость одной базы хакерами, которые использовали псевдонимы Peace of Mind и Tessa88, в среднем устанавливалась на отметке от 1 до 10 биткойнов (580 — 5,8 тысячи американских долларов). Наиболее дорогостоящими стали пароли, позволяющие получить доступ к аккаунтам других пользователей в социальной сети Twitter (10 биткойнов). Что касается базы юзеров социальной сети Вконтакте, то она была оценена в один биткойн.
Чьи пароли были украдены?
Как рассказал один из хакеров, он заполучил доступ к данным ста семнадцати миллионов пользователей социальной сети LinkedIn, шестидесяти пяти миллионов учетных записей платформы блогов Tumblr, ста миллионов аккаунтов популярнейшей российской социальной сети «Вконтакте», и тридцати двух миллионов учетных записей Twitter.
И хотя цифры о количестве юзеров, которые являются потенциальными жертвами взломов, не могут не впечатлять, как отметили эксперты, примерно все учетные записи имеют отношение к 2012 году. А это означает, что подверженными риску могут оказаться те юзеры, которые не меняли свои пароли в социальных сетях несколько лет.
Осуществить проверку относительно того, есть ли придуманный непосредственно вами пароль от одной из четырех социальных сетей можно при помощи сервиса LeakedSource или Have I been pwned.
Как хакерам удалось осуществить взлом одновременно нескольких социальных сетей?
Некоторые эксперты говорят, что в действительности ни о каком взломе речь не идет. В частности, по информации ведущего вирусного аналитика корпорации ESET Артема Баранова, все данные о скомпрометированных учетных записях в социальных сетях были, судя по всему, получены благодаря использованию наносящего вред программного обеспечения и ботнетов. То есть хакеры специально осуществляли рассылку фишинговых писем, из-за чего компьютеры интернет-пользователей оказались зараженными, или же, используя подставные сайты, пользователей вынуждали предоставить информацию о логине и пароле.
Доказательством отсутствия применения злоумышленникам каких-либо методов высоких технологий является то, какой вид информационных данных. В частности, все пароли и логины в них сохраняются как обычный текст. Это свидетельствует о том, что их или кто-то перехватил, или собственноручно подобрал. Наверное, такие действия хакеры проводили не один год.
Реакция соцсетей на такую крупную утечку.
Корреспонденты издания Motherboard, которые смогли получить доступ к части базы данных хакеров, провели проверку некоторых учетных записей, и в большей части случаев они оказались верными.
К примеру, в случае с «Вконтакте» активность проявили девяносто два из сотни случайно выбранных аккаунтов. Что касается Twitter, то результаты выборочной проверки некоторых аккаунтов показали, что абсолютно все пароли являются действительными.
Методы защиты своего аккаунта.
Основываясь на пример утекшей базы данных во «Вконтакте», эксперты выяснили, что наиболее популярным паролем по сегодняшний день является комбинация «123456» — из 100 млн. учетных записей ее можно встретить семьсот девять тысяч раз. Еще популярными используемыми также оказались «qwerty», «123123» и «qwertyuiop».
В связи с этим для лучшей защиты пароль должен содержать как минимум буквы в разном регистре и цифры. Намного лучше, если это не будет связи с фамилией, именем и логином.
Помимо этого, очень полезно будет использовать различные пароли для разных учетных записей, к тому же было бы полезно, чтобы различие в паролях состояло не из одной буквы. Лучше всего использовать пароль, генерация которого произошла случайно. Для этого есть несколько специальных сервисов, создающих комбинации разной степени сложности.
Очередная степень защиты, которая не позволит злоумышленникам завладеть доступом к личному аккаунту, — двухфакторная аутентификация.
Корме традиционно логина и пароля практически все социальные и мессенджеры предлагают указать в аккаунте, к примеру, номер телефона. При таком раскладе сил хакер, который может знать логин и пароль для входа в аккаунт, не будет иметь возможность его взломать, поскольку для этого ему необходимо, помимо прочего, ввести код, который обычно отправляется в SMS-сообщении.
Применение в качестве «второго рубежа» как раз SMS-сообщений - это самый простой и распространенный способ, хотя код может быть отправлен по почте, в качестве голосового сообщения или же вообще с применением отдельного устройства, считывающего биометрические данные — голос, сетчатку глаза, отпечаток пальца.
