Na popularnym forum hakerskim opublikowano plik liczący ponad 200 tys. wierszy z parami „serwis – login – hasło”. Wśród nich są loginy do e-maili, mediów społecznościowych, a nawet usług rządowych. Co gorsza, lista obejmuje świeże dane z lat 2024–2025. Wyjaśniamy, skąd taki wyciek i jak – zgodnie z zaleceniami CERT Polska – zabezpieczyć konta.
Wyciek, który uderza tu i teraz: skala, liczby, konsekwencje
Plik liczy dokładnie 200 924 wiersze, obejmuje 39 967 unikalnych adresów URL, 53 353 loginy niebędące adresami e-mail, 89 141 unikalnych e-maili i aż 142 249 haseł. Ten rozjazd bierze się z nawyku powtarzania jednego hasła w wielu usługach. Najczęściej pojawiają się kombinacje 8–10-znakowe, które „na oko” wydają się solidne, ale bez dodatkowych zabezpieczeń pękają zaskakująco szybko. Najbardziej niepokojący fragment dotyczy danych do Profilu Zaufanego i ePUAP – przejęcie takiego konta pozwala podszywać się pod ofiarę w procedurach urzędowych i wywrócić jej codzienne sprawy do góry nogami. Sprawą zajmuje się CERT Polska, ale niezależnie od działań instytucji to użytkownicy muszą wykonać kilka prostych kroków naprawczych.
Infostealery zamiast „klasycznego” ataku
To nie jest jeden głośny włam na serwer. Jak wskazuje Cyberdefence24, mamy do czynienia z efektem działania infostealerów – złośliwego oprogramowania, które po cichu zczytuje z przeglądarek zapisane loginy i hasła, a następnie przesyła je napastnikom. Dane są pakowane, sprzedawane, a czasem publikowane w całości, jak w tym przypadku. To masowe „odsysanie” z komputerów zwykłych ludzi, a nie jednorazowa kompromitacja pojedynczego usługodawcy. Paradoksalnie, publiczny dump bywa mieczem obosiecznym: zwiększa ryzyko dla ofiar, ale też daje serwisom i użytkownikom szansę, by zareagować – zablokować logowania i wymusić reset haseł.
Praktyczne zalecenia CERT Polska dotyczące haseł
Najważniejsze wg CERT Polska: ustawiaj długie i unikalne hasła (minimum 14 znaków, najlepiej całe zdania) i nie używaj ich ponownie w innych serwisach. Nie ma sensu wymuszać cyklicznych zmian haseł „na wszelki wypadek” — zmieniaj je po incydencie lub gdy masz podejrzenia. Korzystaj z menedżera haseł do generowania i przechowywania silnych fraz oraz włączaj uwierzytelnianie dwuskładnikowe (najlepiej aplikacja z kodami lub klucz sprzętowy; SMS jest gorszy, ale lepszy niż nic). Tam, gdzie to możliwe, blokuj proste/znane hasła i rozważ logowanie przez zaufanego dostawcę tożsamości lub biometrię jako dodatkową warstwę ochrony.
Z tego artykułu dowiedziałeś się
- Jak duża jest skala wycieku i dlaczego powtarzanie haseł tak bardzo podbija ryzyko
- Czym różnią się infostealery od „klasycznych” włamań i jak tworzą takie bazy danych
- Jakie są kluczowe rekomendacje CERT Polska dotyczące haseł
na zdjęciu: podświetlana klawiatura, zdjęcie ilustracyjne. fot. © User:Colin / Wikimedia Commons, CC BY-SA 4.0
Inne tematy w dziale Technologie
