Ennyi lopott adat egyszerre még sose szivárgott ki

Ahogy mi is megírtuk, óriási adatszivárgásra derült fény magyar idő szerint csütörtök hajnalban.

Az adatokat tartalmazó listát a MEGA nevű fájlmegosztóra töltötték fel az ismeretlen hekkerek, és egy népszerű hekkerfórumban terjedt. Nagyobb nyilvánosságot akkor kapott, amikor az adatszivárgásokra szakosodott neves biztonsági szakértő, Troy Hunt is beszámolt róla, és bekötötte az adatokat a Have I Been Pwned nevű szolgáltatásába, amivel rögtön százezrek értesültek róla.

A szivárgás a listán olvasható elnevezés alapján a Collection #1 nevet kapta. Összeszedtük, mi mindent lehet tudni róla, illetve hogy hogyan érdemes védekezni, erre mindjárt rá is térünk. De előbb lássuk még egyszer a számokat, mert elég brutálisak:

• Összesen 2,69 milliárd bejegyzésből áll a nyilvánosságra került lista, bár ebben még sok az ismétlődés, illetve a formázási hibákból adódó szemét.
• 1,16 milliárd egyedi felhasználónév-jelszó páros szivárgott ki, de ebből egy-egy emailcímhez többféle jelszó is tartozik. Ez is azt mutatja, hogy az adatok több forrásból származnak, tehát nem egyetlen szolgáltatást törtek fel, hanem több különböző oldal adataihoz fértek hozzá.
• 773 millió egyedi emailcím található a listán – ezzel ez a legtöbb felhasználót érintő adatszivárgás, amelyet a Have I Benn Pwned oldalon valaha regisztráltak (minden idők legnagyobb spamhálózatának 2017-es leleplezését megelőzve).
• Egyedi jelszóból 21,2 millió került a listára, azaz ugyanazokat a jelszavakat többször is újrahasználták az érintett felhasználók. (Illetve ebben azok sincsenek benne, amelyek csak titkosított formában kerültek ki, és nem sikerült visszafejteni őket, így valószínűleg visszaélni se sikerült velük.)

A számok annyiban csalókák, hogy nem kizárólag új, eddig nem ismert adatokról van szó, hanem – ahogy az az ilyen listáknál gyakori – már korábban kiszivárgott és most először látott adatok keverednek rajta. Ezért talán a legfontosabb adat, hogy

Összességében több ezer különböző forrásból származnak az adatok, az érintett oldalak listáját ide kattintva lehet böngészni. Az oldalak listáján a .hu doménvégződésre rákeresve látszik, hogy 47 magyar oldal érintett – legalább, hiszen nem feltétlenül .hu-ra végződik minden, ami magyar.

Az ilyen listákkal ugyanakkor érdemes mindig óvatosan bánni, mert attól még, hogy a szivárogtató azt állítja, ezekről az oldalakról lopott, ez nem feltétlenül igaz 100 százalékban, és nincs egyszerű módszer ennek az igazolására. Maga Troy Hunt is csak odáig ment el, hogy a listán kétségtelenül vannak igazoltak feltört oldalak.

Na jó, de akkor az én adataimat is ellopták?

Mivel érthető okokból magukat a kiszivárgott adatokat a biztonsági szakemberek soha nem teszik közzé, arra most sincs egyszerű mód, hogy ellenőrizze, önnek pontosan melyik emailcíméhez tartozó melyik jelszava került ki.

Amit viszont megtehet, hogy ellenőrzi az adatait a Have I Been Pwned oldalán (amely egyébként már a Firefoxba is beépült saját szolgáltatásként). Az oldalról már korábban is írtunk. A lényege, hogy rákereshetünk, érintettek vagyunk-e valamilyen adatlopásban, illetve fel is iratkozhatunk, hogy ha új szivárgásra derül fény, és minket is érint, arról rögtön kapjunk emailes értesítést, hogy minél előbb jelszót cserélhessünk. A szolgáltatásra már 2,2 millióan iratkoztak fel, és közülük került ki a mostani szivárgásban érintett 773 millió felhasználóból 768 ezer, ők rögtön kaptak is értesítést a történtekről.

Az oldalon alapvetően az emailcímünk érintettségét ellenőrizhetjük egy egyszerű kereséssel. Ebből persze csak az derül ki, hogy benne voltunk-e a szórásban, az viszont nem, hogy milyen jelszóvak – ez megint csak érthető, hiszen nem volna okos dolog emailcím-jelszó párosokat szabadon kereshetővé tenni, de már csak tárolni sem.

Az oldalon található egy jelszókereső is, ahol külön rá lehet keresni a jelszavainkra, hogy kiszivárogtak-e már valaha. Itt csak annyi derül ki, hogy az adott jelszó hányszor tűnt már fel szivárogtatásokban, az nem, hogy honnan származik és melyik emailcímekhez tartozóan szivárgott ki – de talán mindegy is, mert ha az egyik jelszava 53 ezer különböző helyen tűnt már fel nyilvánosan, talán így is, úgy is jobb, ha inkább nem használja fontos helyen.

Az ilyen régebbi adatokat is tartalmazó listáknál egyébként előfordulhat, hogy még ha érintett is, csak olyan jelszava szivárgott ki, amelyet már rég nem használ, esetleg épp egy korábbi szivárgás miatt cserélt le. De ha mégse, akkor itt az idő a váltásra.

Oké, és mit csináljak, hogy legközelebb megússzam?

Néhány pontban röviden összeszedtük, mire érdemes figyelni, mit ajánlott használni, hogy a jelszavai és ezzel a fiókjai általánosan nagyobb biztonságban legyenek. Persze azzal ön nem nagyon tud mit kezdeni, ha egy-egy szolgáltatás nem vigyáz eléggé az adataira, de az ebből származó kár minimalizálásáért ilyenkor is sokat tehet.

• Ne használjon gyenge jelszavakat, mert azokat könnyű kitalálni. Használjon hosszú és összetett, kis- és nagybetűket, egyéb karaktereket tartalmazó jelszavakat.
• Ne használja több helyen ugyanazt a jelszót, mert ha egy fiókját feltörik, a megszerzett jelszóval máshol is be fognak próbálkozni, és a többi fiókjához is hozzáférhetnek.
• A jelszavai megjegyzéséhez használjon jelszókezelőt (pl. Lastpass , 1Password, Dashlane, Keepass, stb).
• Vigyázzon az adathalászattal, ne adja meg akárhol az adatait. Figyeljen az árulkodó jelekre.
• Használjon kéttényezős hitelesítést minden olyan szolgáltatásnál, ahol ez elérhető.
• Rendszeresen frissítse a szoftvereit és az operációs rendszerét, hogy közvetlenül öntől nehezebben tudjanak bármit ellopni.
• És persze iratkozzon fel a Haveibeenpwned értesítőjére.

Ha ön is érintett volt vagy lesz legközelebb, azért ne csüggedjen, maga Troy Hunt is több adatlopásban botlott már a saját adataiba. De ha figyel a fentiekre, ritkábban kerülnek veszélybe az adatai és kevesebb kárt okoznak, ha mégis.

(Borítókép: Kacper Pempel / Reuters)