Haker je hteo da otkrije ko zna njegove šifre: Rezultat ga je frapirao!
Većina nas zna da nije pametno ponovo koristiti lozinke ili birati one poput, na primer, imena sopstvenog kućnog ljubimca. Ipak, kako je iz prve ruke otkrio Metju Sparkes, novinar portala New Scientist, čak ni poznavanje pravila ne garantuje sajber bezbednost.
Kolike su šanse...?
Kako bi saznao koliko je prosečna osoba zapravo izložena, Sparkes se obratio Roriju Hatingu, etičkom hakeru iz kompanije Evalian. Hating je potvrdio ono što većina ne želi da čuje – da postoji tek „izuzetno mala“ šansa da nijedan vaš lični podatak nije negde procureo. Sparkesov mejl kompromitovan je čak 29 puta, uključujući napad na Internet Archive iz 2024. godine i curenje 122 gigabajta podataka sa Telegram kanala.
Među pogođenim servisima našli su se Dropbox, Adobe i LinkedIn. Ukradeni podaci uključivali su nazive radnih mesta, mejl adrese, IP adrese, brojeve telefona pa čak i delove lozinki. Hating je koristio besplatan alat Have I Been Pwned, koji sa Dark veba prikuplja procurele podatke, kako bi prikazao Sparkesovu istoriju narušavanja privatnosti.
A šta je bilo najzabrinjavajuće?
Iste lozinke često se pojavljuju na više sajtova. U ozbiljnom ste problemu, upozorava Hatting, ako haker pronađe podudarnost i počne automatski da koristi vaše podatke na drugim platformama.
Mejl kao glavni ključ
Ako napadači dobiju pristup vašem mejlu, mogu resetovati lozinke na drugim servisima – bankama, komunalnim uslugama, društvenim mrežama – pa čak i predstavljati se kao vi kako bi prevarili vaše prijatelje. Podaci o plaćanju i kripto novčanici takođe mogu postati meta. Ova lavina bezbednosnih proboja može se dogoditi tiho, naročito ako žrtva ne shvati na vreme da joj je nalog kompromitovan.
Hating napominje da neke firme napade ransomware-om tretiraju kao redovan trošak.
"Imaju crni fond za slučaj da nešto pođe po zlu. Plate i nastave dalje kao da se ništa nije desilo", kaže.
Nisu svi podaci jednako vredni, ali mogu završiti u bilo čijim rukama
Hating ističe i da se najvredniji podaci prodaju elitnim kupcima. Kasnije, „otpatci“ – ono što alati poput Have I Been Pwned prikupljaju – preprodaju se ili se besplatno dele na forumima.
Napredniji alat DeHashed, koji godišnje košta 205 evra, otkrio je Sparkesu stvarne lozinke povezane s njegovim mejlom, od kojih je jednu još uvek koristio. Iako se firma koja stoji iza tog alata reklamira kao rešenje za proverenim organizacijama, na Sparkesovo pitanje o mogućoj zloupotrebi – nisu odgovorili.
Zašto i dalje grešimo?
Aniš Čohan iz britanske firme za sajber bezbednost Equilibrium Security Services sproveo je dublju pretragu i pronašao 24 lozinke povezane sa Sparkesom.
Oba stručnjaka slažu se u jednom – za svaki nalog treba koristiti jedinstvenu lozinku.
"Ljudi biraju put najmanjeg otpora", rekao je Čohan. Čak i najsigurnije lozinke postaju beskorisne ako se ponavljaju.
Alati poput menadžera lozinki mogu to automatizovati. Sparkes je, shvativši koliko su mu neki podaci zastareli, proveo veče ispravljajući ih. Možda je vreme da i većina nas razmisli o ažuriranju lozinki – posebno onih za mejl.
Bonus video: Pitanje zaštite podataka građana