Hlavní navigace

272 milionů hesel k e-mailům na prodej? Dle očekávání šlo o podvrh

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal 9. 5. 2016

Bylo to podezřelé a nakonec to dopadlo přesně podle očekávání. Proč v takovýchto případech není radno propadat okamžité panice?

V Ruský hacker prodává 272 milionů hesel do Gmailu, Hotmailu a dalších služeb se můžete dočíst o „úniku“ 272 milionů e-mailů a hesel z řady online služeb (desítky milionů z Gmailu, Hotmailu či Yahoo). 

Použití slova „únik“ v uvozovkách bylo už minulý týden nutné, celé to vypadalo velmi podezřele, v příznivějším případě jako kompilace již dřívějších úniků přihlašovacích údajů. Některým zahraničním médiím to ale bylo dost dobré k vyvolání paniky (třeba Tech experts: Change your email password now je povedené, včetně hloupostí o anonymním režimu prohlížeče).

Podle Googlu a Yandexu je předmětných 272 milionů mailů prostě podvrh. Google dokonce uvádí, že 98 % z údajů týkajících se Gmailu obsažených v „úniku“ je falešných. Což může znamenat třeba i to, že onen „únik“ je prostě náhodně vygenerovaný. Někdo vzal dřívější úniky, přidal spammerské databáze, doplnil o náhodně vygenerovaná hesla a pokusil se to prodat.

V Yandexu zjistili, že 99,98 % z e-mailů v „úniku“ není platných. 23 % jsou e-mailové adresy, které neexistují. 65 % obsahuje neplatná hesla a 12 % jsou účty, které jsou již neplatné, většinou kvůli dřívější kompromitaci, ale také proto, že byly založeny strojově a poté zneužívány.

Jak je to s účty z Hotmailu, známo není, a Yahoo se pouze vyjádřilo ve smyslu, že „nevěří, že by bylo jakékoliv významné riziko pro uživatele“. Každopádně, pokud by kterákoliv z těchto společností objevila, že údaje v „úniku“ jsou platné, tak by zcela jistě (inu, doufejme) informovala veřejnost a účty s uniklými hesly řešila.

Ars Technica připomíná, že „hacker“ chtěl za databázi původně 50 rublů, ale nakonec ji poskytl ochotně zdarma výměnou za publicitu. Což lze považovat za dostatečně podezřelé. Kritizují ale také Hold Security a Alexe Holdena, že vše předal novinářům, aniž by se ještě předtím snažil u dotčených poskytovatelů služeb ověřit platnost.

Už déle je jasné, že jakékoliv úniky je potřeba řešit bez paniky a důkladně je ověřovat. Reálných úniků e-mailů i s hesly byla v minulosti řada a není nijak těžké je zkusit použít znovu. Stačí trochu zamíchat, spojit, přidat něco nového a rázem je tu nová senzace pro média.

Prověřovat, prověřovat a prověřovat

Správně na to upozorňuje nakonec i Troy HuntHere's how I verify data breaches, který zmiňuje i další „zábavný“ titulek z médií: Exklusive: Big data breaches found at major email services – expert. Je více než jasné, že novinář, který jej napsal, neměl nejmenší ponětí o tom, jak se věci mají. A rozhodně se neobtěžoval si cokoliv ověřit.

Troy Hunt zmiňuje i to, co bylo v Ruský hacker prodává 272 milionů hesel do Gmailu, Hotmailu a dalších služeb: že není moc reálné, aby z Gmailu či Hotmailu někudy unikla hesla k účtům, ale co hlavně, je zcela nereálné, že by bylo možné je získávat v čitelné podobě. Google, Microsoft, Yahoo i další velcí hráči nejsou tak šílení, aby je ukládali v jednoduše dešifrovatelné podobě.

CIF16

Hunt také velmi podrobně rozebírá mechanismy, jak ověřuje úniky. A rozhodně to není jenom to, že se zeptá provozovatele a doufá, že ten řekne pravdu. Byť právě zapojení provozovatele je jediná cesta, jak opravdu ověřit, jestli (a) e-maily vůbec existují a (b) uváděná hesla k nim patří.

Zahrnutí tohoto „úniku“ do ';--have i been pwned? se tedy nedočkáme. Troy Hunt vcelku oprávněně došel k tomu, že tento podvrh tam nepatří. A jedničkou mezi úniky tak stále zůstává 125 milionů účtu z Adobe.

Našli jste v článku chybu?
Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Tipy: Kde zaručeně koupíte dobré maso

Tipy: Kde zaručeně koupíte dobré maso

DigiZone.cz: Skylink: Cinemax 2 nejspíše až 2017

Skylink: Cinemax 2 nejspíše až 2017

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?