Skala wycieku i jego konsekwencje
Jak wyjaśnia twórca HIBP, Troy Hunt, ogromny zbiór zawierający 1,5 TB danych zawierał miliardy wierszy informacji, obejmujących łącznie niemal pół miliarda unikalnych par stron internetowych i adresów e-mail.Nowo dodane rekordy do bazy HIBP to efekt analizy logów złodziei informacji znalezionych w bazie określanej jako „ALIEN TXTBASE”. Wśród nich znalazło się aż 244 miliony haseł, które wcześniej nie były uwzględnione w bazie Pwned Passwords, a także aktualizacja 199 milionów haseł, które już wcześniej tam figurowały. Niepokojący jest fakt, że tak obszerna baza danych może zawierać zarówno nowe, jak i stare dane uwierzytelniające, co oznacza, że osoby korzystające z niezmienianych haseł przez dłuższy czas są szczególnie narażone na ataki. Cyberprzestępcy mogą wykorzystywać te informacje do ataków typu credential stuffing, polegających na automatycznym testowaniu skradzionych danych na różnych platformach w celu przejęcia dostępu do kont użytkowników.
Nowe funkcje HIBP dla firm i użytkowników
Troy Hunt, zanim włączył skradzione konta do bazy danych HIBP, zweryfikował ich autentyczność, m.in. poprzez próby resetowania haseł przy użyciu skompromitowanych adresów e-mail. Dzięki tej metodzie potwierdzono, że dane są prawdziwe i mogą stanowić zagrożenie dla użytkowników. Wraz z dodaniem nowych rekordów, HIBP wprowadził również nowe interfejsy API, które pozwalają właścicielom domen oraz administratorom stron internetowych na masowe przeszukiwanie bazy w poszukiwaniu skradzionych danych. Subskrybenci tej usługi mogą teraz analizować dzienniki wycieków, identyfikując użytkowników, których dane zostały naruszone. Osoby prywatne, które korzystają z powiadomień HIBP, również mają możliwość sprawdzenia, czy ich adres e-mail znalazł się wśród skradzionych danych, choć szczegóły dotyczące źródła wycieku pozostają ukryte ze względów bezpieczeństwa.
Kolejne duże wycieki w HIBP
Dodanie tak ogromnej liczby rekordów do bazy HIBP nie jest pierwszym przypadkiem, gdy usługa ta rejestruje masowe wycieki danych. W grudniu 2021 roku baza została rozszerzona o 441 tysięcy kont skradzionych przez złośliwe oprogramowanie RedLine. Z kolei na początku tego miesiąca do HIBP trafiło 12 milionów kont użytkowników platformy Zacks Investment, których dane, w tym nazwiska, adresy e-mail, adresy fizyczne i numery telefonów, zostały ujawnione wskutek naruszenia bezpieczeństwa.Wszystkie te przypadki pokazują, że skala problemu wycieków danych rośnie, a użytkownicy powinni stale monitorować stan swoich kont oraz stosować unikalne hasła dla każdej platformy. Have I Been Pwned pozostaje jednym z istotnych narzędzi dla osób i organizacji, które chcą minimalizować ryzyko przejęcia swoich kont przez cyberprzestępców.
