Media alarmują o wycieku milionów haseł do sieci. Sprzeczne doniesienia martwią internautów

Polacy korzystają z usług tej firmy

Aby w pełni zrozumieć wagę jakichkolwiek doniesień o wycieku danych z Google, należy najpierw pojąć skalę działalności firmy. Mówimy tu o absolutnym monopoliście, którego rynkowa kapitalizacja spółki-matki, Alphabet, oscyluje wokół 2,2 biliona dolarów. Sam Gmail, z którego aktywnie korzysta ponad 1,8 miliarda ludzi na świecie, dawno przestał być tylko skrzynką na elektroniczne listy. Stał się de facto naszym cyfrowym dowodem osobistym. Używamy go do logowania w bankach, w usługach administracji publicznej, jak Profil Zaufany, w kluczowych systemach zawodowych, sklepach internetowych czy serwisach streamingowych.

To fundament ekosystemu Google, który obejmuje także system Android (ponad 3 miliardy aktywnych urządzeń) czy dominującą na rynku przeglądarkę Chrome. Taka centralizacja danych, choć niewątpliwie wygodna dla użytkownika, tworzy jednocześnie największy i najcenniejszy cel dla cyberprzestępców. Utrata dostępu do konta Gmail dla wielu osób oznaczałaby nie drobną niedogodność, lecz prawdziwą cyfrową amputację i paraliż codziennego funkcjonowania.

Właśnie dlatego Google inwestuje astronomiczne kwoty w cyberbezpieczeństwo, zatrudniając elitarne zespoły, jak choćby Project Zero, wyspecjalizowany w poszukiwaniu luk w oprogramowaniu. W tym cyfrowym imperium nawet najmniejsza rysa na wizerunku bezpieczeństwa może wywołać globalne trzęsienie ziemi i podważyć zaufanie, na którym zbudowano całą potęgę firmy. Niedawne doniesienia pokazują, jak blisko kryzysu znajdują się światowe społeczeństwa.

Tak hakerzy wydobywają dane

W dyskusjach o wyciekach danych często pojawia się mylne przekonanie, że hakerzy włamali się bezpośrednio na serwery danej usługi, niczym w scenariuszu filmowym. W rzeczywistości mechanizm jest zwykle o wiele prostszy, choć równie groźny. Najczęściej mamy do czynienia z tak zwanym credential stuffing (wypychaniem poświadczeń).

Cyberprzestępcy najpierw pozyskują bazy danych z innych, znacznie słabiej zabezpieczonych serwisów, małych sklepów internetowych, specjalistycznych forów dyskusyjnych, aplikacji mobilnych czy portali, o których istnieniu dawno zapomnieliśmy. Kradną stamtąd listy loginów, którymi są zwykle nasze adresy e-mail, oraz przypisanych do nich haseł. Następnie, wykorzystując zautomatyzowane boty, systematycznie testują te same kombinacje na głównych usługach, takich jak Gmail, Facebook, Netflix czy systemy bankowe. Liczą na to, że użytkownicy stosują ten sam, łatwy do zapamiętania klucz do wielu różnych drzwi.

To właśnie ten proceder, nazywany potocznie recyklingiem haseł, stanowi jedno z największych zagrożeń. Istotnym narzędziem w weryfikacji naszego bezpieczeństwa jest serwis “Have I Been Pwned” (HIBP), co można przetłumaczyć jako ”Czy zostałem spenetrowany?”. To prowadzona przez uznanego australijskiego eksperta ds. cyberbezpieczeństwa, Troya Hunta, globalna baza danych o znanych wyciekach. HIBP agreguje dane ujawnione na forach hakerskich i pozwala każdemu użytkownikowi wpisać swój adres e-mail. W odpowiedzi otrzymujemy informację, w ilu ujawnionych publicznie incydentach bezpieczeństwa nasze dane się znalazły. Użytkownicy Gmail mogą sprawdzić bezpieczeństwo swojego konta w ten sposób. To może się wkrótce okazać niezwykle przydatne.

Zobacz: Incydent w Ikei z udziałem Konrada Berkowicza. Sklep wydał oświadczenie

Dane z Gmail miały wyciec, jest komentarz Google

Niedawne doniesienia medialne, w tym te opublikowane przez portal Dobreprogramy.pl, dotyczyły rzekomego dodania aż 183 milionów rekordów powiązanych z adresami Gmail do baz danych krążących w sieci. Sednem informacji jest fakt, że baza ta została zidentyfikowana i dodana do monitoringu wspomnianego serwisu “Have I Been Pwned”. Google niemal natychmiast zdementowało te informacje, oświadczając, że jego systemy nie zostały naruszone, a dane użytkowników ”są chronione”.

[...] niedokładne raporty [o ilości wykradzionych danych] wynikają z niezrozumienia baz danych osób kradnących dane, które rutynowo gromadzą dane o różnych działaniach związanych z kradzieżą danych uwierzytelniających, mających miejsce w sieci. Nie odzwierciedlają one nowego ataku wymierzonego w konkretną osobę, narzędzie lub platformę - twierdzi Google.

Te dwa komunikaty, choć pozornie sprzeczne, najprawdopodobniej oba są prawdziwe. Jest wysoce prawdopodobne, że nie doszło do bezpośredniego włamania na serwery Google. Odkryta baza 183 milionów rekordów to tak zwana combolist, czyli kompilacja danych zebranych z wielu różnych, często starszych wycieków z zupełnie innych serwisów. Ktoś po prostu przefiltrował te bazy, wyciągając z nich wyłącznie loginy kończące się na @gmail.com. Z perspektywy Google ich zabezpieczenia wytrzymały. Jednak z perspektywy użytkownika zagrożenie jest realne.

Nie ma znaczenia, czy hasło wyciekło z małego forum, czy z serwera giganta. Jeśli jest publicznie dostępne i używaliśmy go w Gmailu, a powyższe sugestie są prawdziwe, nasze konto może być zagrożone. Co więc robić? Przede wszystkim należy zweryfikować swój adres e-mail w serwisie HIBP. Jeśli figuruje on w jakichkolwiek wyciekach, należy niezwłocznie zmienić hasło do konta Google. Następnie, co kluczowe, trzeba zmienić hasła we wszystkich innych serwisach, gdzie stosowaliśmy tę samą kombinację. Absolutną podstawą jest jednak włączenie weryfikacji dwuetapowej (2FA) na koncie Google. To dodatkowa warstwa ochrony, która wymaga podania jednorazowego kodu (np. z SMS-a, aplikacji Google Authenticator lub fizycznego klucza U2F) nawet po wpisaniu poprawnego hasła. To skutecznie blokuje próby włamania oparte na credential stuffing.

Ostatecznym rozwiązaniem problemu recyklingu haseł jest korzystanie z menedżera haseł. To program, który tworzy i bezpiecznie przechowuje unikalne, bardzo skomplikowane hasła dla każdej strony, z której korzystamy.