Kilka dni temu niemal zamarłem z przerażenia. Pośród tysiąca newsletterów, służbowych i prywatnych maili znalazło się coś, co na moment wstrzymało bicie serca. Mail od internetowego złodzieja zawierał moje hasło, którego używam do niezliczonych serwisów.
Chyba nigdy jeszcze nie zbierałem myśli w tak szybkim tempie – w ciągu kilku minut musiałem przypomnieć sobie do jak ważnych treści blokowało dostęp skradzione hasło. Zdałem sobie wówczas sprawę, że od dość dawna nie miałem tak wielkiego problemu. I wiecie co? Wy też możecie być zagrożeni. Niech moja głupota posłuży tu za przykład.
Spis treści
Hasłomania
Swoje pierwsze konto założyłem mając około 6 lat. Poznawałem wtedy świat Internetu, który nie był jeszcze tak zachłanny na informacje o swoich użytkownikach jak dzisiaj. Magazynowanie danych stawało się było obowiązkiem każdego, szanującego się usługodawcy, więc nawet żeby zapisać wynik w zwykłej „zręcznościówce” należało podać imię, czasami nazwisko, adres e-mail i hasło. Jako sześciolatek zarejestrowałem się gdzieś na stronie z grami online, korzystając z adresu e-mail mamy.
Później robiło się trudniej. Odkrywałem nowe strony z grami i bajkami, które również wymagały rejestracji. Niektóre rejestracje wymagały z kolei aktywacji za pomocą e-maila, co niejako wymusiło na mnie stworzenie własnej skrzynki na internetowe wiadomości. Prawdopodobnie złamałem tym samym regulamin dostawcy usługi, ale czym trudnym była zmiana wirtualnej daty urodzenia?
Nie o tym jednak. Wziąłem ostatnio w rozmyślania całe moje internetowe życie i doszedłem do wniosku, że wcale nie skłamię pisząc, że mam kilkaset internetowych kont. Gdybym wziął kartkę i ołówek z łatwością wypisałbym ponad 100 stron, na których kiedykolwiek się zarejestrowałem. Gdybym zażył dodatkowo jakiś specyfik na pamięć, albo cofnął się w czasie, byłoby tego więcej. Prawie każdy zakup w Internecie, każda gra online, każdy internetowy komunikator oraz forum wymagało ode mnie podania mniejszej lub większej ilości danych.
To wszystko wiązało się też z utworzeniem hasła, które będzie ich strzegło. Z początku starałem się być kreatywny – moimi hasłami bywało imię psa połączone z datą, ksywka ze szkoły z losowymi liczbami albo ciąg losowych znaków, które tworzyły łatwy do zapamiętania szlaczek na klawiaturze. Nie sposób było jednak zapamiętać tak mnogą liczbę kodów. Pogwałciłem wówczas jedną z głównych zasad cyberbezpieczeństwa – różnicowanie haseł. Wymyśliłem sobie dwa hasła, które od około 6-7 lat wpisywałem, na zmianę, przy każdej rejestracji.
Dzisiaj tego dość mocno żałuję.
Wyciek haseł
W grudniu ubiegłego roku doszło do wycieku bazy danych sklepu internetowego morele.net. Poinformowano wówczas, że złodzieje wykradli dane 2,5 miliona użytkowników. Znajdowały się wśród nich imiona, nazwiska, numery telefonów i hasła. Te ostatnie miały być zaszyfrowane metodą md5crypt, co uspokaja, bo to stosunkowo bezpieczny sposób. Jeśli skonfrontujemy jednak teorię z praktyką, zrobi się mniej ciekawie.
Niebezpiecznik informował niedawno, że na dzień 20.12.18 przestępcy złamali już 350 000 haseł. Można by dyskutować, czy to faktycznie możliwe, ale… z crackerami się nie dyskutuje. Co oznacza taki wyciek dla osób mojego pokroju? Ktoś wydobył kombinację mojego e-maila i hasła, które, przy odrobinie sprytu i chęci, pozwoli mu zalogować się do wielu serwisów internetowych.
Morele.net zagrało dosyć uczciwie, bo o zajściu poinformowało swoich użytkowników mailem. Otrzymałem taką wiadomość, która zachęcała do zmiany haseł. Należę jednak do tych, którzy nie uwierzą, dopóki nie zobaczą. Zignorowałem maila od sklepu i jak gdyby nigdy nic dalej cieszyłem się życiem.
Nie żartowali
Moja niewierność ma dzisiaj swoje skutki. Około miesiąc temu odnalazłem w spamie swojej skrzynki e-mail wiadomość z niezwykle egzotycznego adresu. Mail zaczynał się ciągiem znaków tworzących moje najpopularniejsze hasło.
Otrzymałem warunki, po których spełnieniu złodzieje mieli usunąć hasło i zapomnieć o sprawie. Wystarczyłoby wpłacić 977 dolarów w bitconie. W przeciwnym wypadku miały zostać upublicznione moje prywatne treści oraz nagrania z mojej kamery internetowej i mikrofonu. Cenię sobie prywatność, ale jeszcze nie oszalałem – tego maila również zignorowałem. Zaryzykowałem i do dziś nic mi się nie przytrafiło. Ale wiecie – minął dopiero miesiąc…
Sprostuję jeszcze, że nie mam pewności, czy mail od crakera wiąże się z wyciekiem bazy danych morele.net. Mogą to być zarówno dwa odrębne, pechowe zdarzenia, jak i ciąg przyczynowo-skutkowy. Nieistotne.
Was też mogli okraść
Jest jednak jeszcze mnóstwo innych sposobów, w jaki ktoś mógł uzyskać dostęp do moich danych. Znacie stronę haveibeenpwned.com? Z łatwością można tam sprawdzić czy i gdzie zostały wykradzione wasze dane. Wystarczy wpisać e-mail, a dowiemy się, w jakich skradzionych bazach danych wystąpił.
Po wpisaniu mojego e-maila znów troszkę się zaskoczyłem. Moim oczom ukazało się kilka rekordów.
Co zrobiłem? Przypomniałem sobie najważniejsze dla mnie strony, na których logowałem się z użyciem wykradzionego hasła i e-maila. Zmieniłem je na nowe, a przede wszystkim na różne. Wydrukowałem sobie tabelę, do której wpisałem hasła i adresy powiązanych z nimi stron, a następnie schowałem kilka kopii w moich dokumentach. Czy to nierozsądne? Być może, ale chyba zgodzicie się ze mną, że wnętrze mojej szafy jest bezpieczniejszym miejscem niż chmura czy komputerowa baza danych.
Jeżeli dotrwaliście do tego momentu – bardzo się cieszę. Być może ochroni Was to przed przyszłościową utratą danych albo dostępu do nich. Jeżeli jeszcze nie sprawdziliście swojego maila na powyższej stronie, koniecznie to uczyńcie. Może zaistnieć potrzeba zmiany hasła.