Hlavní navigace

Byly vaše údaje v nějakém úniku hesel? Nezapomněli jste na to nejpodstatnější?

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal 16. 9. 2015

Rozlousknutí milionů hesel z Ashley Madison seznamky znamená, že její uživatelé mohou očekávat nezvanou internetovou návštěvu.

Tři lidé, které znám, a jejichž e-mail i heslo byly v úniku Ashley Madison, se mě ptali, co mají dělat s podezřelou aktivitou na jejich online účtech. Google dvěma z nich zablokoval účet pro podezřelou aktivitu a všichni dostali varování od dalších online služeb, že se někdo pokoušel přihlásit na jejich účet či účty. Jeden z nich, který má naštěstí u důležitých věcí dvoufaktorové ověření, dostal několik požadavků na ověření, aniž by se kamkoliv přihlašoval.

Není náhoda, že všichni tři mají e-mail v uniklých datech ze seznamky Ashley Madison. Dva mají navíc maily i v dávném masivním úniku z Adobe. Je dost jasné, že rozlousknutí desítek milionů hesel z Ashley Madison (viz Nejpoužívanější hesla z Ashley Madison vlastně nepřekvapí) znamená aktivity útočníků/hackerů, kteří se snaží dostat k online identitám a účtům lidí, kteří byli tak neopatrní, že měli v Ashley Madison snadno rozlousknutelná hesla. 

Získat přístup do e-mailových schránek, účtů na sociálních sítích, ale také třeba k účtům v počítačových hrách může být velmi lákavé. A také výnosné, protože to může vést ke zpeněžení samotných účtů, nebo k cílenému útoku na zcela konkrétní lidi ze zcela konkrétních firem.

Dva z výše zmíněných, kteří byli jak v Ashley Madison, tak v Adobe, nakonec potvrdili, že v obou případech použili stejné heslo. Takové to univerzální heslo, které používají prakticky všude. Opatrný dotaz na to, jestli ho používají ještě někde jinde, kde to může být nebezpečné, vyvolal trochu paniky. Vůbec nemysleli na to, že pokud tohle heslo používají i k mailu, který zároveň získal útočník, tak je dost zázrak, že tu schránku ještě mají.

Byl váš e-mail v Ashley Madison databázi?

Pokud byl váš e-mail v uniklé databázi ze seznamky Ashley Madison, nebo pokud byl v jakémkoliv jiném úniku, kde byla i hesla nebo jejich „šifrovaná“ podoba, tak máte zásadní problém. Někdo se bude pokoušet, většinou zcela automatizovaným způsobem, přihlásit na váš e-mail, ale také na desítky či stovky dalších zajímavých služeb, které můžete pod tímto mailem (a k němu připojeným heslem) používat.

Pokud se mu to povede, tak následně nově získaný přístup využije. Účty v sociálních sítích může použít pro útok na vaše přátele, nebo je prostě prodat. Pokud máte připojenou platební kartu, může toho využít. Účty ve hrách prostě prodá, je běžné, že za jeden takový získá i několik set dolarů. E-mail využije pro získání přístupu ke všem dalším službám, kde jste měli jiné heslo. A pak může „identitu“ rovněž prodat, nebo jakkoliv dál využít.

Co dělat, pokud se vám něco takového povedlo? Detailněji je to popsané třeba v Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby na @365tipů, ale lze to shrnout do několika podstatných, krátkých a jasných bodů. Můžete si z nich udělat checklist a začít vše velmi rychle řešit:

  1. Okamžitě si nastavit nová hesla k e-mailu (e-mailům) a zabezpečit je dvoufaktorem, nezapomenout prověřit, jestli už ve vašem účtu někdo nebyl a nepřidal si tam zadní vrátka.
  2. Změnit heslo všude, kde jste používali stejné heslo, které získali útočníci. A také hlavně všude, kde byl pro přihlášení používán kompromitovaný e-mail.
  3. Ideálně si pořídit správce hesel (LastPass, KeePass atd) a s jeho pomocí změnit hesla všude, kde máte účty.
  4. Pořídit si náhradní záchranný e-mail, opět dostatečně zabezpečený, který použijete tam, kde je možné přes extra e-mail získat případně kompromitovaný účet zpět.
  5. Všude, kde to jde, si zapnout upozornění na přihlašování, ať víte, odkud se případně někdo k vašim účtům pokoušel přihlašovat. Doplnit dvoufaktorová přihlášení všude tam, kde je to podporováno, nejenom na e-mail.
  6. Zlikvidovat bezpečnostní otázky, které lidé nepochopitelně vyplňují zcela poctivě. Musíte s nimi zacházet stejně jako s dalšími hesly a mít u nich nesmyslné odpovědi.

Nevíte, jestli váš e-mail je v nějaké uniklé databázi? Na haveibeenpwned.com se můžete podívat, jestli není v únicích z Adobe, Ashley Madison, Snapchatu a řady dalších. Upozornění – zadáváte tam pouze e-mail, ne žádné přihlašovací údaje. Služba pak prostě zkontroluje e-mailovou adresu (případně uživatelské/přihlašovací ID) proti databázi.

Neberte to na lehkou váhu, jeden z mých nejstarších e-mailů, který používám pro zbytečnosti, je v datech od Adobe i z „Gmail“ úniku.

Co ještě dodat?

Celé tohle všechno stále znamená to, co už víme dlouho: nesmíte opakovaně používat stejné heslo (k tomu vám pomůže snadno správce hesel), hesla musí být dostatečně silná (opět vám pomůže správce hesel) a případný správce hesel si pochopitelně musíte dobře chránit. Jakékoliv opravdu důležité služby musíte chránit dvoufaktorovým ověřováním nebo jiným způsobem, který znemožní přihlášení, pokud někdo bude mít prostě jenom jméno a heslo.

Pokud jako dodatečné ověření slouží váš mobil, tak samozřejmě pozor na to, aby byl dostatečně zabezpečený, tj. pokud se dostane do rukou někomu nepovolanému, tak aby se do něj snadno nedostal. A pokud ho ztratíte zcela, tak abyste ho mohli na dálku vymazat.

WT100

Pro zásadní a důležité služby se vyplatí nepoužívat jeden stejný e-mail, ale rozdělit si je na více účtů. Sociální sítě je obecně více než vhodné používat pod zcela jiným účtem, než je ten váš zásadní a základní. To, že se z e-mailu stal univerzální přihlašovací údaj, je sice praktické, ale také krajně rizikové.

Úplně poslední poznámka. Pokud váš e-mail a heslo bylo v úniku Ashley Madison, opravdu to neberte na lehkou váhu. Dešifrování milionů hesel vedlo k snahám toho využít. A jakákoliv služba, kde máte totéž heslo (nebo podobné heslo), je ohrožena. Pokud už není pozdě.

Našli jste v článku chybu?
Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Podnikatel.cz: ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

ČOI zamířila na e-shopy. Zaplatí 1,5 milionu

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

120na80.cz: Běžci, co jíst poslední dny před závodem?

Běžci, co jíst poslední dny před závodem?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?