Stručnější už to prostě být nemůže. V krátkosti je síla!
Hesla nikdy nejsou v bezpečí. Elsevier nechal hesla uživatelů dostupné online. Chybná konfigurace serveru zpřístupnila e-maily a hesla uživatelů. Na oné chybné konfiguraci je nejlepší to, že přístup k toku hesel a e-maily byl přes Kibana, pomůcku pro vizualizaci a třídění dat. Elsevier se dušuje, že k žádném zneužití nedošlo. Viz Education and Science Giant Elsevier Left Users’ Passwords Exposed Online
Další obrovský malér Facebooku, 600 milionů hesel měl uložených jako čistý text. A také přístupných pro dvě desítky tisíc zaměstnanců Facebooku. To že je hesla nutné neukládat v čisté podobě se ví už roky. Na problém přišli v lednu a oznamují to v Keeping Passwords Secure kde to vypadá, že to mělo i nějakou spojitost s aplikací Facebook Lite. Problém se navíc týká i Instagramu.
Facebook tvrdí, že se hesla nedostala mimo Facebook, ale až vám od Facebooku přijde upozornění, tak to heslo co jste používali považujte za kompromitované.
Podle Briana Krebse byla takto hesla ukládána od roku 2012 a z interních dat Facebooku plyne, že o čitelná hesla byl mezi zaměstnanci Facebooku enormní zájem. Těžko uvěřitelné.
TIP: Tři dost důležité věci najdete níže
W3C schválilo WebAuthn, nový standard pro přihlašování bez hesel – tedy zejména pomocí biometriky, mobilních zařízení a bezpečnostních klíčů. Aktuálně podporováno v Androidu a Windows 10. V prohlížečích Chrome, Firefox a Edge, u Apple prozatím pouze v beta verzi Safari.
Pokud vám dorazí e-mail od Basecampu informující o resetu hesla, tak je pravý. Uvádějí v něm, že pro váš e-mail zjistili únik hesla z jiné online služby a proto vám (totožné) heslo v BaseCampu resetovali a musíte si nastavit nové.
O jaký únik jde bohužel nepíší. Jediná vada jinak velmi užitečného opatření.
TIP: TIP#453: Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel?
500px někdy v červenci 2018 hackli systémy a dostali se k údajům uživatelů. Jména, uživatelská jména, e-maily, hashovaná hesla, zemi odkud pocházejí, datum narození a pohlaví. V 500px na to přišli až v únoru 2019 a uživatelům resetují hesla. Viz Security Issue February 2019: FAQ
TIP: Tradičně nutné připomenout Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel? ale pozor, únik z 500px není mezi dostupnými, takže v HaveIBeenPwned není. Užitečné čtení najdete v Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby
Google uvolnil rozšíření pro Google Chrome. Zkontroluje vám jestli nemáte uniklá hesla. Viz Password Checkup. Z popisu to vypadá, že varuje ale až v okamžiku kdy se pomocí takto prozrazeného hesla chcete přihlásit.
TIP: Password Checkup od Google už je i na webu. Běžte si prověřit jak jste na tom s hesly.
Collection#2 obsahuje 2.2 miliardy přihlašovacích údajů. Je navíc prakticky volně dostupná na hackerských fórech i přes torrenty – stáhnout ovšem musíte 845 GB dat a zpracovat 25 miliard záznamů. Viz HACKERS ARE PASSING AROUND A MEGALEAK OF 2.2 BILLION RECORDS a Nový únik — 773 milionů e-mailů a 21 milionů unikátních hesel. kde je řeč o Collection#1.
Vhodné připomenout je Únik e-mailů a hesel českých politiků a vysokých úředníků? Ne tak docela únik, ale nebezpečné to je. Velmi.
Na www.haveibeenpwned.com se můžete podívat kde všude váš e-mail a heslo jsou uvedeny.
Nový únik — 773 milionů e-mailů a 21 milionů unikátních hesel. Data se objevila na Mega v podobě 87 GB dat a 2.7 miliardy záznamů – opět jde o kompilaci z řady předchozích úniků všech velikostí. Na www.haveibeenpwned.com se můžete podívat, pokud zjistíte, že váš e-mail je v „Collection #1“, tak víte na čem jste. A pokud váš e-mail a hesla byla v některém z větších předchozích úniků, tak je dost jisté, že jsou i zde. Viz The 773 Million Record „Collection #1“ Data Breach kde Troy Hunt upozorňuje, že v tomto uniku je 140 milionů e-mailů, které nemá v databází z předchozích úniků. Platí ale také, že ne všechny e-maily z předchozích úniků jsou zahrnuty v tomto novém. Dost dobře to vysvětluje Brina Krebs v 773M Password ‘Megabreach’ is Years Old – Collection # je sva až tři roky stará. Ten co tuhle sbírku vytvořil ale má na prodej další sbírky. Celkem až 4 terebajty dat.
Vhodné připomenout je Únik e-mailů a hesel českých politiků a vysokých úředníků? Ne tak docela únik, ale nebezpečné to je. Velmi.
Austrálie chystá zákon vynucující zadní vrátka. 1Password se tomu věnuje v Does Australia’s access and assistance law impact 1Password? Klasicky upozorňuje na to, že jakmile někde existují zadní vrátka, končí tím jakákoliv bezpečnost. K čemu by asi byl správce hesel, který může všechna vaše hesla předat někomu neznámému?
Firefox upozorní, když vstoupíte na web ze kterého unikla data. V budoucnu to bude součástí prohlížeče přímo, teď to můžete mít ve Firefox Quantum v rámci Firefox Monitor. Viz Firefox Monitor Launches in 26 Languages and Adds New Desktop Browser Feature. A ne, na Mall.cz vás to varovat nebude. Kupodivu ani na www.apollo.com.
Dobré vědět je, že tohle Mozilla řeší ve spolupráci s Have i Been Pwned. O tom více v Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel?
