Hazánkban ritkán hallani olyan betörésekről, amelyek során hackerek felhasználói információkat lopnak ki különféle webhelyektől. Ennek alapvetően két oka van: egyrészt az érintett portálok üzemeltetői nem feltétlenül veszik észre a betörést, másrészt pedig ha tudomást is szereznek arról, akkor sem kötelességük senkit sem tájékoztatni, csak dokumentálniuk kell az incidenst. Gyakorlatilag legális az ügy szőnyeg alá söprése, és ez csak 2018-ban érvénybe lépő, uniós adatvédelmi rendelettel fog megváltozni.
Az Origo mára számos betörésről szerzett tudomást, a legnagyobb ezek közül 2016 februárjának elején történt, mikor a Budapest Sportiroda adatbázisából bő 15 ezer felhasználó adatait szerezték meg a támadók. A betörés észlelése után a BSI rendszerében befoltozták a kihasznált sérülékenységet, a felhasználók számára előzetes tájékoztatást nyújtottak az incidensről, majd véletlenszerűen generáltra változtatták a jelszavaikat.
(A kép forrása: Origo)
Sajnos ezzel véget ért az ügy, az Origo írása nélkül talán soha nem derült volna ki a támadás igazi mérete. Az adatlopás leginkább aggasztó része, hogy a BSI sima szövegként tárolta a felhasználók jelszavait. Rengeteg felhasználó ugyanazokat a jelszavakat használja szinte az összes webszolgáltatásban, így a kiszivárgott információkkal sokak esetében be lehet lépni a levelezőrendszerükbe (pl.: Gmail, Freemail, Citromail, Yahoo), a Facebook-fiókjukba, kis keresgélés után potenciálisan egyéb szolgáltatásokba is. A kiszivárgott adatbázis szabadon letölthető egy észt fórumról.
Az eredeti sztori után az Origo számos korábbi adatszivárgásra talált bizonyítékot, ezekben is sima szöveges formában olvashatóak a magyar felhasználók jelszavai. A beszámoló alapján egy tavaly augusztusi keltezésű állományban látszólag bő 800 Facebook-fiók belépési adatai olvashatóak, plusz 2015 decemberéből és 2011 augusztusából származó dokumentumokban is találtak név-jelszó párosokat. Nem világos, hogy ezeket az információkat melyik portáloktól lopták el.
Pár kattintással generálhatunk erős jelszavakat a ritkán használt szolgáltatásokba való regisztrációhoz (a képen a LastPass látható)
A webhelyekben található biztonsági résekkel, elfogadhatatlan jelszótárolási metódusokkal a felhasználók nem tudnak mit kezdeni, azonban őket is terheli felelősség abban, hogy a kiszivárgott jelszavaikat a bűnözők más szolgáltatásokban fel tudják használni ellenük.
A legjobb praktika, hogy a fontos és gyakran használt szolgáltatásokban egyedi és erős jelszavakat kell használni, lehetőség szerint kétfaktoros hitelesítéssel megfejelve. Az összes többi portál esetében szintén egyedi, de véletlenszerűen generált jelszavakat érdemes bevetni. A böngészőkbe gyárilag beépített, vagy külön letöltött jelszókezelő alkalmazásoknak (például LastPass) teljességgel lényegtelen, hogy konkrétan milyen karakterlánccal kell kitölteniük belépéskor a beviteli mezőket. Ezzel a módszerrel adatszivárgás esetén egy webhelyre, és egy jelszóra szűkíthető az incidens, semmilyen más fiók sem kerül veszélybe.
(Forrás: Origo | Nyitókép: Erasmus Student Network International)
