Совсем недавно Трой Хант (Troy Hunt), эксперт в области безопасности, сообщил в своем блоге, что в сети обнаружилась огромная база данных под названием Collection #1. В ней более 700 миллионов уникальных e-mail адресов и более 1,1 миллиарда не менее уникальных наборов логинов и паролей. Рассказываем, как проверить, попали ли в базу ваши данные, и что делать, если беда вас не миновала.
Утечки данных и дыры в системе безопасности — нередкое явление. Но иногда они бывают особенно крупными. Многие киберпреступники собирают слитую в сеть информацию, создавая собственную базу логинов и паролей. Причем некоторые хватаются чуть ли не за каждую утечку, чтобы пополнить свою коллекцию. Так и появляются такие гигантские коллекции, как предмет исследования Троя Ханта — Collection #1.
Эта база не сформирована в результате какого-то одного крупного инцидента, как было в случае с кражей аккаунтов пользователей Yahoo, — старательный коллекционер с 2008 года пополнял ее данными из 2000 разных утечек. Некоторые записи появились в Collection #1 совсем недавно.
Странно, что в базу не вошли логины и пароли таких известных утечек, как случай с LinkedIn в 2012 году и обе бреши Yahoo (мы уже писали и про первую брешь в Yahoo, и про вторую).
Как узнать, есть ли мои данные в Collection #1?
Поискать свои данные в Collection #1 можно на сайте haveibeenpwned.com. Чтобы узнать, в каких базах украденных данных (которые известны авторам сервиса, конечно) встречается ваш e-mail, просто введите его в соответствующее поле.
Если ваш адрес электронной почты попал в Collection #1, сайт сообщит вам об этом. Если нет — вам повезло, и вопрос можно считать закрытым. Но если удача изменила вам, то готовьтесь к приключениям.
Что делать, если мой аккаунт есть в базе данных Collection #1?
Итак, ваш e-mail попал в коллекцию украденных данных. К сожалению, haveibeenpwned.com не подскажет, какой именно аккаунт пострадал, ведь вы могли использовать этот почтовый ящик для регистрации на многих сайтах: на форуме криптовалют, в электронной библиотеке, в онлайн-сообществе любителей котиков — да где угодно. У вас есть два варианта действий, и выбор зависит от того, использовали вы один и тот же пароль для нескольких сервисов или нет.
Первый вариант: вы используете один и тот же пароль в нескольких аккаунтах, привязанных к одному почтовому ящику. В этом случае придется попотеть — вам нужно будет сменить пароли везде, где использован этот злосчастный e-mail. Да, на каждом сайте. Не забудьте, что пароли должны быть длинными и уникальными. Понятное дело, если вы привыкли использовали один и тот же пароль на всех сайтах, запомнить кучу новых комбинаций будет трудновато. В этом случае может пригодиться менеджер паролей.
Второй вариант: вы используете уникальные пароли во всех аккаунтах, привязанных к одному почтовому ящику. Спешим вас обрадовать: это сильно упрощает задачу. Конечно, можно поступить как в первом случае — взять и сменить все пароли подряд. Но реальной необходимости в этом нет. Сначала стоит проверить пароли с помощью Pwned Passwords, еще одной полезной функции haveibeenpwned.
Достаточно ввести в поле пароль к одному из ваших аккаунтов, чтобы узнать, хранится ли он в базе данных сервиса — в виде простого текста или хэша. Если haveibeenpwned скажет, что ваш пароль был затронут при утечке данных хотя бы один раз, лучше его сменить. Если нет, то все в порядке и можно приступать к проверке следующего пароля.
Если вы не хотите слепо довериться haveibeenpwned и выдать сайту свои конфиденциальные данные, то вместо пароля вы можете ввести в поисковую строку его хэш SHA-1. Сервис покажет те же результаты. В Интернете есть куча ресурсов, которым можно скормить любую информацию и получить ее хэш SHA-1 (можете не гуглить, вот они). Попробуйте этот способ, если не доверяете haveibeenpwned, — одним поводом для паранойи меньше.
Пара советов о том, как максимально обезопасить себя и не стать жертвой очередной утечки
В последние несколько лет случилась уйма утечек, и нет никаких оснований полагать, что их станет меньше — скорее, наоборот. Аналоги Collection #1 будут периодически появляться в свободном доступе, и кибержулики будут все так же рады заграбастать чужие пароли и логины. Соблюдайте несколько простых предосторожностей, чтобы ваши данные не попали в недобрые руки:
- Используйте длинные и уникальные пароли для каждого аккаунта. Если какой-то сервис, которым вы пользуетесь, «протечет», вам придется сменить всего один пароль — остальные ваши аккаунты не пострадают.
- Включайте двухфакторную аутентификацию везде, где только можно. Так хакеры не смогут войти в ваш аккаунт, даже имея на руках ваш логин и пароль.
- Пользуйтесь защитными решениями, которые могут предупредить вас об утечках. Такая функция есть, например, в Kaspersky Security Cloud.
- Обзаведитесь менеджером паролей, где можно создавать и хранить надежные и уникальные комбинации, чтобы не запоминать их. В некоторых менеджерах также есть функция быстрой смены пароля. Kaspersky Password Manager, например, эффективно справляется со всеми перечисленными задачами.