Витоки даних: що стається з вашими паролями, коли сервіс зламують

Рано чи пізно сервіс, яким ви користуєтеся, потрапить у заголовки новин про безпеку. Що це означає для вас, цілком залежить від типу інциденту — і від того, чи був ваш пароль унікальним.

Злам, скрейпінг чи credential stuffing?

Під час зламу компрометуються системи самого сервісу, і збережені дані — іноді хеші паролів — викрадаються. Під час скрейпінгу публічні чи напівпублічні дані збираються через відкритий інтерфейс; паролі не забирають. Credential stuffing іде у зворотний бік: паролі, що витекли деінде, перебираються на цьому сервісі. Заголовки рідко розрізняють ці три випадки — а ваша реакція повинна.

Що стається з витеклим хешем пароля

Серйозні сервіси зберігають паролі у вигляді хешів, а не в читабельному вигляді. Але витеклий хеш можна атакувати офлайн із трильйонами спроб за секунду, і короткі чи передбачувані паролі відновлюються за години. Ось чому довжина та випадковість важливі, навіть коли викрадені дані «були зашифровані».

Що робити, коли постраждав сервіс, яким ви користуєтеся

Змініть пароль у постраждалому сервісі — і всюди, де ви його повторно використовували, а потім узагалі відмовтеся від повторного використання паролів. Увімкніть двофакторну автентифікацію. І чекайте після цього цільового фішингу: витеклі адреси й імена використовують для переконливих фальшивих листів «скиньте пароль».

Задокументовані інциденти у великих сервісах

  • 2023DiscordУ 2023 році інцидент у стороннього постачальника розкрив обмежений обсяг даних користувачів Discord (адреси ел. пошти).
  • 2023DuolingoУ 2023 році дані близько 2,6 млн акаунтів Duolingo було зібрано через відкритий інтерфейс (адреси ел. пошти, імена і дані профілю) — паролі не викрадено.
  • 2022PayPalУ 2022 році близько 35 тис. акаунтів PayPal було викрадено в атаках credential stuffing із паролями з чужих витоків.
  • 2022RobloxУ 2022 році інцидент у стороннього постачальника розкрив обмежений обсяг даних користувачів Roblox (адреси ел. пошти і імена).
  • 2022X (Twitter)У 2022 році дані близько 5,4 млн акаунтів X (Twitter) було зібрано через відкритий інтерфейс (адреси ел. пошти, номери телефонів і дані профілю) — паролі не викрадено.
  • 2021EA (Electronic Arts)У 2021 році зловмисники викрали вихідний код EA (Electronic Arts) — паролі користувачів не постраждали.
  • 2020SpotifyУ 2020 році близько 300 тис. акаунтів Spotify було викрадено в атаках credential stuffing із паролями з чужих витоків.
  • 2019FacebookУ 2019 році дані близько 533 млн акаунтів Facebook було зібрано через відкритий інтерфейс (номери телефонів, імена і дані профілю) — паролі не викрадено.
  • 2019InstagramУ 2019 році дані близько 49 млн акаунтів Instagram було зібрано через відкритий інтерфейс (дані профілю, номери телефонів і адреси ел. пошти) — паролі не викрадено.
  • 2018FacebookУ 2018 році Facebook зазнав витоку даних, що торкнувся близько 50 млн акаунтів (дані профілю).
  • 2016Epic GamesУ 2016 році Epic Games зазнав витоку даних, що торкнувся близько 800 тис. акаунтів (адреси ел. пошти і хешовані паролі).
  • 2014iCloud MailУ 2014 році акаунти iCloud Mail зазнали цільових фішингових атак і підбору паролів — самі системи iCloud Mail зламані не були.
  • 2014SnapchatУ 2014 році дані близько 4,6 млн акаунтів Snapchat було зібрано через відкритий інтерфейс (імена користувачів і номери телефонів) — паролі не викрадено.
  • 2013UbisoftУ 2013 році Ubisoft зазнав витоку даних (імена користувачів, адреси ел. пошти і хешовані паролі).
  • 2011PlayStationУ 2011 році PlayStation зазнав витоку даних, що торкнувся близько 77 млн акаунтів (імена, адреси ел. пошти, хешовані паролі і дані профілю).
  • 2011SteamУ 2011 році Steam зазнав витоку даних, що торкнувся близько 35 млн акаунтів (адреси ел. пошти, хешовані паролі і платіжні дані).

Зібрано з публічних повідомлень і заяв компаній; типи інцидентів відповідають визначенням вище. Кожен сервіс веде на свій гід із паролів.

Посібники з безпеки

Якої довжини має бути пароль?

Як довжина пароля впливає на час зламу — реальні цифри за довжиною та набором символів, плюс рекомендації для акаунтів, пошти та майстер-паролів.

Найпоширеніші помилки з паролями

Шість помилок із паролями, якими зловмисники користуються щодня — повторне використання, особисті дані, клавіатурні шаблони, заміни l33t, короткі паролі та небезпечне зберігання — і що робити натомість.

Двофакторна автентифікація (2FA): що це і чому важливо

Як працює двофакторна автентифікація, який метод обрати — ключ безпеки, застосунок чи SMS — і які великі сервіси її підтримують.

Чи потрібен вам менеджер паролів?

Чому менеджер паролів — єдиний реалістичний спосіб мати унікальний випадковий пароль для кожного акаунта, і як захистити саме сховище.

Витоки даних: що стається з вашими паролями, коли сервіс зламують

Злам, скрейпінг чи credential stuffing? Що кожен тип інциденту означає для ваших паролів, задокументовані інциденти у великих сервісах і що робити.