Витоки даних: що стається з вашими паролями, коли сервіс зламують
Рано чи пізно сервіс, яким ви користуєтеся, потрапить у заголовки новин про безпеку. Що це означає для вас, цілком залежить від типу інциденту — і від того, чи був ваш пароль унікальним.
Злам, скрейпінг чи credential stuffing?
Під час зламу компрометуються системи самого сервісу, і збережені дані — іноді хеші паролів — викрадаються. Під час скрейпінгу публічні чи напівпублічні дані збираються через відкритий інтерфейс; паролі не забирають. Credential stuffing іде у зворотний бік: паролі, що витекли деінде, перебираються на цьому сервісі. Заголовки рідко розрізняють ці три випадки — а ваша реакція повинна.
Що стається з витеклим хешем пароля
Серйозні сервіси зберігають паролі у вигляді хешів, а не в читабельному вигляді. Але витеклий хеш можна атакувати офлайн із трильйонами спроб за секунду, і короткі чи передбачувані паролі відновлюються за години. Ось чому довжина та випадковість важливі, навіть коли викрадені дані «були зашифровані».
Що робити, коли постраждав сервіс, яким ви користуєтеся
Змініть пароль у постраждалому сервісі — і всюди, де ви його повторно використовували, а потім узагалі відмовтеся від повторного використання паролів. Увімкніть двофакторну автентифікацію. І чекайте після цього цільового фішингу: витеклі адреси й імена використовують для переконливих фальшивих листів «скиньте пароль».
Задокументовані інциденти у великих сервісах
- 2023Discord — У 2023 році інцидент у стороннього постачальника розкрив обмежений обсяг даних користувачів Discord (адреси ел. пошти).
- 2023Duolingo — У 2023 році дані близько 2,6 млн акаунтів Duolingo було зібрано через відкритий інтерфейс (адреси ел. пошти, імена і дані профілю) — паролі не викрадено.
- 2022PayPal — У 2022 році близько 35 тис. акаунтів PayPal було викрадено в атаках credential stuffing із паролями з чужих витоків.
- 2022Roblox — У 2022 році інцидент у стороннього постачальника розкрив обмежений обсяг даних користувачів Roblox (адреси ел. пошти і імена).
- 2022X (Twitter) — У 2022 році дані близько 5,4 млн акаунтів X (Twitter) було зібрано через відкритий інтерфейс (адреси ел. пошти, номери телефонів і дані профілю) — паролі не викрадено.
- 2021EA (Electronic Arts) — У 2021 році зловмисники викрали вихідний код EA (Electronic Arts) — паролі користувачів не постраждали.
- 2020Spotify — У 2020 році близько 300 тис. акаунтів Spotify було викрадено в атаках credential stuffing із паролями з чужих витоків.
- 2019Facebook — У 2019 році дані близько 533 млн акаунтів Facebook було зібрано через відкритий інтерфейс (номери телефонів, імена і дані профілю) — паролі не викрадено.
- 2019Instagram — У 2019 році дані близько 49 млн акаунтів Instagram було зібрано через відкритий інтерфейс (дані профілю, номери телефонів і адреси ел. пошти) — паролі не викрадено.
- 2018Facebook — У 2018 році Facebook зазнав витоку даних, що торкнувся близько 50 млн акаунтів (дані профілю).
- 2016Epic Games — У 2016 році Epic Games зазнав витоку даних, що торкнувся близько 800 тис. акаунтів (адреси ел. пошти і хешовані паролі).
- 2014iCloud Mail — У 2014 році акаунти iCloud Mail зазнали цільових фішингових атак і підбору паролів — самі системи iCloud Mail зламані не були.
- 2014Snapchat — У 2014 році дані близько 4,6 млн акаунтів Snapchat було зібрано через відкритий інтерфейс (імена користувачів і номери телефонів) — паролі не викрадено.
- 2013Ubisoft — У 2013 році Ubisoft зазнав витоку даних (імена користувачів, адреси ел. пошти і хешовані паролі).
- 2011PlayStation — У 2011 році PlayStation зазнав витоку даних, що торкнувся близько 77 млн акаунтів (імена, адреси ел. пошти, хешовані паролі і дані профілю).
- 2011Steam — У 2011 році Steam зазнав витоку даних, що торкнувся близько 35 млн акаунтів (адреси ел. пошти, хешовані паролі і платіжні дані).
Зібрано з публічних повідомлень і заяв компаній; типи інцидентів відповідають визначенням вище. Кожен сервіс веде на свій гід із паролів.
Посібники з безпеки
Якої довжини має бути пароль?
Як довжина пароля впливає на час зламу — реальні цифри за довжиною та набором символів, плюс рекомендації для акаунтів, пошти та майстер-паролів.
Найпоширеніші помилки з паролями
Шість помилок із паролями, якими зловмисники користуються щодня — повторне використання, особисті дані, клавіатурні шаблони, заміни l33t, короткі паролі та небезпечне зберігання — і що робити натомість.
Двофакторна автентифікація (2FA): що це і чому важливо
Як працює двофакторна автентифікація, який метод обрати — ключ безпеки, застосунок чи SMS — і які великі сервіси її підтримують.
Чи потрібен вам менеджер паролів?
Чому менеджер паролів — єдиний реалістичний спосіб мати унікальний випадковий пароль для кожного акаунта, і як захистити саме сховище.
Витоки даних: що стається з вашими паролями, коли сервіс зламують
Злам, скрейпінг чи credential stuffing? Що кожен тип інциденту означає для ваших паролів, задокументовані інциденти у великих сервісах і що робити.