Είναι τρεις φορές μεγαλύτερη διαρροή από την αμέσως προηγούμενη.
Μια τεράστια συλλογή 1,3 δισεκατομμυρίων κωδικών πρόσβασης μαζί με σχεδόν δύο δισεκατομμύρια διευθύνσεις email αποκαλύφθηκε στο Διαδίκτυο.
Η υπηρεσία Have I Been Pwned (HIBP) που ειδοποιεί τους χρήστες αν έχουν εκτεθεί σε διαρροή δεδομένων επεξεργάστηκε τα δεδομένα που συγκεντρώθηκαν από πολλαπλές πηγές όπου κυβερνοεγκληματίες είχαν δημοσιεύσει δεδομένα που είχαν καταφέρει να υποκλέψουν.
Ο διευθύνων σύμβουλος του HIBP, Τρόι Χαντ, ο οποίος ανέφερε ότι και ο δικοί του κωδικοί βρέθηκαν σε αυτή τη λίστα, δήλωσε: «Αυτό το σύνολο δεδομένων είναι σχεδόν τρεις φορές μεγαλύτερο από τη μεγαλύτερη διαρροή που έχουμε εντοπίσει μέχρι σήμερα. Το σύνολο δεδομένων περιλαμβάνει 1.957.476.021 μοναδικές διευθύνσεις email και 1,3 δισεκατομμύρια μοναδικούς κωδικούς πρόσβασης, 625 εκατομμύρια από τους οποίους δεν είχαν ξαναεμφανιστεί στο HIBP.
Η διαρροή
Με περισσότερους από 5,5 δισεκατομμύρια ανθρώπους παγκοσμίως να χρησιμοποιούν το Διαδίκτυο, οι ερευνητές προειδοποίησαν ότι όλοι πρέπει να αλλάξουν τους κωδικούς τους ως προληπτικό μέτρο. Τα αρχεία συνδύαζαν παλαιότερες διαρροές με λίστες credential stuffing, δηλαδή δεδομένα που χρησιμοποιούν οι επιτιθέμενοι για να δοκιμάσουν κλεμμένους κωδικούς σε πολλαπλούς λογαριασμούς.
Το HIBP επαλήθευσε το σύνολο δεδομένων ελέγχοντας δεδμένα πραγματικών χρηστών. Πολλοί κωδικοί ήταν παλιοί ή μη χρησιμοποιούμενοι αλλά άλλοι εξακολουθούσαν να προστατεύουν ενεργούς λογαριασμούς δείχνοντας τον πραγματικό κίνδυνο. Ο Χαντ προσέφερε το HIBP για να βοηθήσει τους χρήστες να διαπιστώσουν αν τα διαπιστευτήριά τους έχουν παραβιαστεί, επιτρέποντάς τους να ελέγξουν διευθύνσεις email και κωδικούς πρόσβασης με άμεσα αποτελέσματα.
Η υπηρεσία Pwned Passwords του HIBP επιτρέπει σε οποιονδήποτε να ελέγξει αν ένας κωδικός έχει εκτεθεί παλαιότερα χωρίς να αποκαλύπτεται με ποιες διευθύνσεις email συνδέθηκε, διατηρώντας την ιδιωτικότητα ενώ ενισχύει την ασφάλεια. «Απεχθάνομαι τους υπερβολικούς τίτλους ειδήσεων για διαρροές δεδομένων, αλλά για να είναι υπερβολικός ο τίτλος “2 Δισεκατομμύρια Διευθύνσεις Email”, θα έπρεπε να είναι υπερδιογκωμένος και δεν είναι. Είναι το εκτενέστερο σύνολο δεδομένων που έχουμε επεξεργαστεί ποτέ με διαφορά» υποστηρίζει ο Χαντ.
Τα μέτρα προστασίας
Οι ειδικοί κυβερνοασφάλειας προτρέπουν άμεση δράση, συμβουλεύοντας τους χρήστες να χρησιμοποιούν ασφαλή διαχείριση κωδικών και να δημιουργούν μοναδικούς, ισχυρούς κωδικούς για κάθε λογαριασμό. Ο έλεγχος ταυτότητας δύο παραγόντων πρέπει να ενεργοποιείται σε όλους τους λογαριασμούς, με προτεραιότητα στο email και στους λογαριασμούς διαχείρισης.
Στις οργανώσεις συνιστάται να πραγματοποιούν ελέγχους διαπιστευτηρίων για να εντοπίζουν επαναχρησιμοποιημένους ή εκτεθειμένους κωδικούς. Η ανίχνευση παραβιασμένων κωδικών πρέπει να εφαρμόζεται κατά τη σύνδεση και την αλλαγή κωδικών. Πρέπει να γίνεται έλεγχος δικαιωμάτων πρόσβασης, να περιορίζονται οι λογαριασμοί υπηρεσιών και να αφαιρούνται παρωχημένοι κωδικοί.
Για τους ιδιώτες, το βασικό μήνυμα από τη διαρροή είναι ξεκάθαρο: οι κωδικοί πρόσβασης από μόνοι τους δεν αρκούν πλέον.
