V januári vyšiel článok, ktorý podrobne opisuje „matku všetkých narušení“, únik rozsiahleho súboru údajov, ktoré boli odcudzené počas viacerých útokov na rôzne spoločnosti a online služby vrátane sietí LinkedIn a Twitter (teraz X). Úložisko údajov údajne obsahovalo ohromujúcich 26 miliárd záznamov, ktoré boli plné rôznych citlivých informácií vrátane vládnych údajov a prihlasovacích údajov ľudí.
Hoci nejde o prvý prípad, keď došlo k zneužitiu obrovského množstva používateľských údajov, samotný počet kompromitovaných záznamov zatienil predchádzajúce známe úniky (a ich kompilácie). Veď si len zoberte, že pri neslávne známom úniku údajov Cam4 v roku 2020 bolo zverejnených takmer 11 miliárd záznamov rôzneho druhu a pri narušení bezpečnosti v spoločnosti Yahoo v roku 2013 boli kompromitované všetky tri miliardy používateľských účtov. A nezabudnime ani na príznačne nazvaný súbor Collection No. 1 so 773 miliónmi prihlasovacích mien a hesiel ukradnutých rôznym organizáciám, ktorý sa v roku 2019 dostal na otvorený internet, nasledovaný ďalšími štyrmi „zbierkami“ o niekoľko týždňov neskôr.
Čo z toho vyplýva? Kľúčovým poznatkom je zrejme to, že aj keď uplatňujete prísne osobné bezpečnostné opatrenia, vaše prihlasovacie údaje k účtom sa stále môžu objaviť v takýchto zbierkach, najmä v dôsledku narušení bezpečnosti vo veľkých spoločnostiach. To vyvoláva otázku, ako môžete zistiť, či boli vaše prihlasovacie údaje kompromitované. Čítajte ďalej.
Verejné priznanie firiem
Firmy môžu podliehať špecifickým regulačným požiadavkám, ktoré ich zaväzujú verejne priznať hackerské incidenty a neopravené zraniteľnosti. Napríklad v USA musia kótované spoločnosti hlásiť „závažné“ kybernetické incidenty Americkej komisii pre cenné papiere a burzu (SEC) do 96 hodín alebo štyroch pracovných dní od ich výskytu.
Ako to pomôže bežným ľuďom? Takáto transparentnosť nielenže pomáha budovať dôveru zákazníkov, ale umožňuje im aj zistiť, ak boli ich účty alebo údaje kompromitované. Spoločnosti zvyčajne informujú používateľov o úniku údajov e‑mailom, ale keďže sú záznamy SEC verejné, môžu sa o takýchto incidentoch dozvedieť aj z iných zdrojov, prípadne zo správ.
ODPORÚČANÝ ČLÁNOK
Moje heslo bolo prelomené. Ako mám postupovať?
Have I been pwned?
Asi najjednoduchším spôsobom, ako skontrolovať, či niektoré z vašich údajov, napríklad e‑mailová adresa alebo heslo, neboli kompromitované pri úniku údajov, je navštíviť stránku haveibeenpwned.com. Nájdete na nej bezplatný nástroj, ktorý vám povie, kedy a kde sa vaše údaje objavili.
E‑maily aj heslá môžete na stránke haveibeenpwned.com skontrolovať prostredníctvom jednoduchého vyhľadávacieho dopytu.
Stačí zadať e‑mailovú adresu, kliknúť na „pwned?“ a je to! Zobrazí sa informácia o stave zabezpečenia vašich prihlasovacích údajov, ako aj o presnom úniku, pri ktorom boli kompromitované. Tým, ktorí majú šťastie, sa výsledok zobrazí v zelenej farbe, čo signalizuje, že nedošlo ku kompromitácii. A tým menej šťastným sa stránka vyfarbí načerveno s informáciou, pri ktorom úniku údajov sa ich prihlasovacie údaje objavili.
Webové prehliadače
Niektoré webové prehliadače vrátane prehliadačov Google Chrome a Firefox vedia skontrolovať, či neboli vaše heslá kompromitované pri známom úniku údajov. Chrome vám tiež môže odporučiť silnejšie heslá prostredníctvom svojho modulu správcu hesiel alebo ponúknuť ďalšie funkcie na zvýšenie bezpečnosti hesiel.
Správca hesiel v prehliadači Chrome môže byť celkom užitočný pri zisťovaní, či vaše údaje neunikli na verejnosť.
Možno však budete chcieť svoju bezpečnosť posunúť na vyššiu úroveň a používať špecializovaného správcu hesiel, ktorý preukázateľne berie bezpečnosť údajov vážne, a to aj prostredníctvom spoľahlivého šifrovania. Tieto nástroje sú často dodávané spolu s renomovaným viacvrstvovým bezpečnostným softvérom.
Správcovia hesiel
Správcovia hesiel sú neoceniteľnými pomocníkmi pri práci s veľkým množstvom prihlasovacích údajov, pretože ich dokážu nielen bezpečne ukladať, ale aj generovať komplexné a jedinečné heslá pre každý váš online účet. Samozrejmosťou by však malo byť nastavenie silného, ale zapamätateľného hlavného hesla, ktoré je kľúčom k vášmu kráľovstvu.
Na druhej strane, takéto trezory s heslami nie sú imúnne voči kompromitácii a zostávajú atraktívnym cieľom útočníkov, napríklad v dôsledku útokov typu credential-stuffing (masívne testovanie už uniknutých prihlasovacích údajov) alebo útokov využívajúcich zraniteľnosti softvéru. Aj napriek tomu však výhody, medzi ktoré patrí vlastná kontrola uniknutých hesiel a integrácia so systémami dvojfaktorovej autentifikácie, ktoré sú v súčasnosti dostupné na mnohých online platformách, prevažujú nad rizikami.
Ako zabrániť úniku prihlasovacích údajov (a prípadným následkom)?
Ako v prvom rade zabrániť únikom? Môže sa bežný používateľ internetu chrániť pred únikom prihlasovacích údajov? Ak áno, ako? Ako môžete chrániť svoje účty?
Predovšetkým, a to nemôžeme dostatočne zdôrazniť, sa nespoliehajte len na heslá. Radšej sa uistite, že vaše účty sú chránené dvoma formami identifikácie. Na tento účel používajte dvojfaktorovú autentifikáciu v každej službe, ktorá ju umožňuje, ideálne vo forme vyhradeného bezpečnostného kľúča alebo overovacej aplikácie, ako je Microsoft Authenticator alebo Google Authenticator. Pre útočníkov tak bude výrazne ťažšie získať neoprávnený prístup k vašim účtom, a to aj v prípade, že sa nejakým spôsobom dostali k vašim heslám.
Pokiaľ ide o bezpečnosť hesiel ako takú, nezapisujte si prihlasovacie údaje na papier ani ich neukladajte do aplikácie na zapisovanie poznámok. Takisto je lepšie vyhnúť sa ukladaniu prihlasovacích údajov k účtom do webových prehliadačov, ktoré ich zvyčajne uchovávajú len ako jednoduché textové súbory, v dôsledku čoho sú zraniteľné voči exfiltrácii údajov malvérom.
Medzi ďalšie základné tipy na zabezpečenie účtov patrí používanie silných hesiel, ktoré podvodníkom sťažujú útoky hrubou silou. Zabudnite na jednoduché a krátke heslá, napríklad kombináciu slova a čísla. V prípade pochybností použite na generovanie hesiel tento nástroj spoločnosti ESET alebo si nechajte skontrolovať silu vlastných hesiel.
ODPORÚČNAÝ ČLÁNOK
Hackovanie nie je akčný film. Je to zdĺhavá manuálna robota, hovorí etický hacker
Dobrým zvykom je tiež používať prístupové frázy
Prístupové frázy môžu byť bezpečnejšie a takisto sa ľahšie pamätajú. Namiesto náhodných kombinácií písmen a symbolov sa skladajú zo série slov, ktoré sú popretkávané veľkými písmenami a prípadne špeciálnymi znakmi.
Podobne si pre každý účet nastavte iné heslo, aby ste zabránili útokom, ako je napríklad credential stuffing, ktorý využíva záľubu ľudí v opakovanom používaní rovnakých prihlasovacích údajov vo viacerých online službách.
Novší prístup k autentifikácii sa spolieha na prihlasovanie bez hesla, napríklad pomocou prístupových kľúčov, a existujú aj iné metódy prihlasovania, ako sú bezpečnostné tokeny, jednorazové kódy alebo biometria na overenie vlastníctva účtu vo viacerých zariadeniach a systémoch.
Prevencia na strane spoločností
Spoločnosti musia investovať do bezpečnostných riešení, ako je napríklad softvér na detekciu a reakciu, ktorý dokáže zabrániť narušeniam a bezpečnostným incidentom. Okrem toho musia organizácie proaktívne redukovať potenciálne miesta útokov a reagovať hneď, ako sa zistí podozrivá aktivita. Správa zraniteľností je tiež veľmi dôležitá, pretože sledovanie známych slabých miest v softvéri a ich včasné opravovanie pomáha predchádzať ich zneužitiu kyberzločincami.
Kompromitáciu môže spôsobiť aj všadeprítomný ľudský faktor, napríklad keď zamestnanec otvorí podozrivú e‑mailovú prílohu alebo klikne na nejaký odkaz. Preto nemožno podceňovať význam školení o kybernetickej bezpečnosti a ochrane koncových zariadení/e‑mailov.
Každá spoločnosť, ktorá to myslí s bezpečnosťou údajov vážne, by mala zvážiť aj riešenie určené na prevenciu straty dát (DLP) a zaviesť spoľahlivú politiku zálohovania.
Okrem toho si spracúvanie veľkých objemov údajov klientov a zamestnancov vyžaduje prísne šifrovacie postupy. Lokálne šifrovanie prihlasovacích údajov môže chrániť takéto citlivé údaje, čo útočníkom sťažuje zneužitie ukradnutých informácií bez prístupu k príslušným šifrovacím kľúčom. Celkovo možno povedať, že neexistuje univerzálne riešenie a každá spoločnosť musí upraviť svoju stratégiu zabezpečenia údajov tak, aby vyhovovala jej špecifickým potrebám, a prispôsobiť sa vyvíjajúcemu sa prostrediu hrozieb. Napriek tomu kombinácia osvedčených postupov v oblasti kybernetickej bezpečnosti do značnej miery zabráni narušeniam bezpečnosti a únikom údajov
