Pre par godina, ovde na blogu, pisali smo zašto recikliranje lozinki nije dobra ideja, zašto je potrebno da svaki onlajn servis koji koristite ima jedinstvenu lozinku.
U ovom postu ćemo vam pokazati kako možete da proverite da li su vaša lozinka ili e-mail adresa nekada bili kompromitovani u sajber napadima.
Troj Hant, stručnjak za sajber bezbednost iz Australije, pre nekoliko godina napravio je servis koji je nazvao “Have I Been Pwned”.
Krstareći mračnim hodnicima interneta, Troj je počeo da skuplja podatke koje su napadači krali kompromitacijom poznatih veb servisa, kao što su Adobe, MySpace, Sony, xHamster i drugi. Baza koju je napravio vremenom je rasla (zapravo, svakim danom je sve veća) i trenutno sadrži podatke o oko 5 milijardi naloga, kao i podatke koju su procureli hakovanjem 336 različitih onlajn servisa.
Have I Been Pwned funkcioniše prilično jednostavno.
Potrebno je da na sledećoj veb stranici unesete svoju e-mail adresu:
https://haveibeenpwned.com/
Ukoliko imate sreće i vaši podaci nisu kompromitovani, prikazaće vam se ovakva poruka:
Ukoliko je vaša e-mail adresa pronađena u bazi hakovanih naloga, dobićete ovakvu poruku:
U donjem delu stranice imaćete preciznije informacije, gde i kada se kompromitacija dogodila:
Šta da radim ako sam “pwned”?
Ukoliko je vaš nalog kompromitovan, na primer, prilikom hakovanja Dropbox-a, u idealnom svetu, bilo bi potrebno da promenite svoju Dropbox lozinku i to je sve.
Ipak, ponovo se vraćamo na temu koju smo pomenuli na samom početku, recikliranje lozinki.
Ako ste istu lozinku kao za Dropbox koristili i za druge servise, biće potrebno da istu promenite na svim servisima.
Lozinka koju ste imali na nalogu koji je kompromitovan je lozinka na koju treba da zaboravite, čak iako ste planirali da je koristite u paru sa drugom e-mail adresom.
Kako da automatski saznam da je došlo do problema?
U gornjem levom uglu “Have I Been Pwned” sajta postoji opcija “Notify me”. Potrebno je da tu unesete svoju e-mail adresu i, ako se u budućim hakovima bude pojavila vaša e-mail adresa, servis će vam poslati e-mail obaveštenje.
Napomena:
Ovaj servis nije zamena za obaveštenja koja će vam najverovatnije direktno poslati sajt koji je kompromitovan, tako da je potrebno da i dalje pratite bezbednosna saopštenja koja vam na e-mail šalju servisi koje koristite.
Koja ja vaša statistika?
Podaci koje prikuplja “Have I Been Pwned” nisu podaci koji su iscureli vašom greškom. U pitanju su uglavnom kompromitacije baza podataka servisa koje koristite od strane napadača. Neretko u tim slučajevima iscuri kompletna baza podataka nekog servisa.
Moja privatna gmail adresa, koju koristim 7-8 godina, do sada se našla u bazi čak 3 puta.
Stara e-mail adresa koju sam nekada imao sa domenom internet provajdera i koristio sam je od 2000. godine – čak 7 puta.
Kako vi stojite?
Post Da li su login podaci koje koristim na Internetu nekada bili kompromitovani? je objavljen na sajtu LimundoGrad blog.