Hlavní navigace

272 milionů hesel k e-mailům na prodej? Dle očekávání šlo o podvrh

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal 9. 5. 2016

Bylo to podezřelé a nakonec to dopadlo přesně podle očekávání. Proč v takovýchto případech není radno propadat okamžité panice?

V Ruský hacker prodává 272 milionů hesel do Gmailu, Hotmailu a dalších služeb se můžete dočíst o „úniku“ 272 milionů e-mailů a hesel z řady online služeb (desítky milionů z Gmailu, Hotmailu či Yahoo). 

Použití slova „únik“ v uvozovkách bylo už minulý týden nutné, celé to vypadalo velmi podezřele, v příznivějším případě jako kompilace již dřívějších úniků přihlašovacích údajů. Některým zahraničním médiím to ale bylo dost dobré k vyvolání paniky (třeba Tech experts: Change your email password now je povedené, včetně hloupostí o anonymním režimu prohlížeče).

Podle Googlu a Yandexu je předmětných 272 milionů mailů prostě podvrh. Google dokonce uvádí, že 98 % z údajů týkajících se Gmailu obsažených v „úniku“ je falešných. Což může znamenat třeba i to, že onen „únik“ je prostě náhodně vygenerovaný. Někdo vzal dřívější úniky, přidal spammerské databáze, doplnil o náhodně vygenerovaná hesla a pokusil se to prodat.

V Yandexu zjistili, že 99,98 % z e-mailů v „úniku“ není platných. 23 % jsou e-mailové adresy, které neexistují. 65 % obsahuje neplatná hesla a 12 % jsou účty, které jsou již neplatné, většinou kvůli dřívější kompromitaci, ale také proto, že byly založeny strojově a poté zneužívány.

Jak je to s účty z Hotmailu, známo není, a Yahoo se pouze vyjádřilo ve smyslu, že „nevěří, že by bylo jakékoliv významné riziko pro uživatele“. Každopádně, pokud by kterákoliv z těchto společností objevila, že údaje v „úniku“ jsou platné, tak by zcela jistě (inu, doufejme) informovala veřejnost a účty s uniklými hesly řešila.

Ars Technica připomíná, že „hacker“ chtěl za databázi původně 50 rublů, ale nakonec ji poskytl ochotně zdarma výměnou za publicitu. Což lze považovat za dostatečně podezřelé. Kritizují ale také Hold Security a Alexe Holdena, že vše předal novinářům, aniž by se ještě předtím snažil u dotčených poskytovatelů služeb ověřit platnost.

Už déle je jasné, že jakékoliv úniky je potřeba řešit bez paniky a důkladně je ověřovat. Reálných úniků e-mailů i s hesly byla v minulosti řada a není nijak těžké je zkusit použít znovu. Stačí trochu zamíchat, spojit, přidat něco nového a rázem je tu nová senzace pro média.

Prověřovat, prověřovat a prověřovat

Správně na to upozorňuje nakonec i Troy HuntHere's how I verify data breaches, který zmiňuje i další „zábavný“ titulek z médií: Exklusive: Big data breaches found at major email services – expert. Je více než jasné, že novinář, který jej napsal, neměl nejmenší ponětí o tom, jak se věci mají. A rozhodně se neobtěžoval si cokoliv ověřit.

Troy Hunt zmiňuje i to, co bylo v Ruský hacker prodává 272 milionů hesel do Gmailu, Hotmailu a dalších služeb: že není moc reálné, aby z Gmailu či Hotmailu někudy unikla hesla k účtům, ale co hlavně, je zcela nereálné, že by bylo možné je získávat v čitelné podobě. Google, Microsoft, Yahoo i další velcí hráči nejsou tak šílení, aby je ukládali v jednoduše dešifrovatelné podobě.

Hunt také velmi podrobně rozebírá mechanismy, jak ověřuje úniky. A rozhodně to není jenom to, že se zeptá provozovatele a doufá, že ten řekne pravdu. Byť právě zapojení provozovatele je jediná cesta, jak opravdu ověřit, jestli (a) e-maily vůbec existují a (b) uváděná hesla k nim patří.

Zahrnutí tohoto „úniku“ do ';--have i been pwned? se tedy nedočkáme. Troy Hunt vcelku oprávněně došel k tomu, že tento podvrh tam nepatří. A jedničkou mezi úniky tak stále zůstává 125 milionů účtu z Adobe.

Našli jste v článku chybu?

9. 5. 2016 11:33

9 (neregistrovaný)

myslím, že k získání dostatečného počtu hesel ke gmailu stačí prosté zxavirování dostatečného počtu počítačů uživatelů

9. 5. 2016 8:53

není moc reálné, aby z Gmailu či Hotmailu někudy unikla hesla k účtům, ale co hlavně, je zcela nereálné, že by bylo možné je získávat v čitelné podobě

Souhlasim, ze je pravdepodobne, ze si tihle velci hraci neukladaji hesla v plaintextu. Jenze co se vsemi temi hlupaky, kteri sverili heslo ke svemu emailu Facebooku? Ten ho v plaintextu urcite potrebuje. Nebo POP3 fetch z jinych sluzeb (minimalne GMail to umi).

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: ČT láká na jarní programové tipy

ČT láká na jarní programové tipy

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?