Утечки данных происходят регулярно, но то, что произошло сейчас, действительно, поражает своими масштабами. В облачном сервисе MEGA была опубликована баз аднанных под названием “Collection #1”. База данных содержит список скомпрометированных адресов электронной почты и слитых паролей. В данный момент общее число записей на данный момент превышает два с половиной миллиарда. Самая свежая утечка, пополнившая коллекцию, содержит 773 млн адресов электронной почты и более 21 млн уникальных паролей.
База данных не содержит указаний, какой пароль относится к какому адресу, так что злоумышленники ею не воспользуются. Зато простые пользователи могут проверить присутствует ли их адрес и пароль в базе. И если присутствует - с большой долей вероятности аккаунт был взломан.
Что делать?
В первую очередь, проверьте свою учетную запись. Эксперт по безопасности Трой Хант организовал сайт HaveIBeenPwned, с помощью которого можно проверить, присутствуют ли ваш адрес или пароль в базе.
В первую очередь, рекомендуется проверить адрес электронной почты. Еще важнее - проверить пароль, но есть подвох. Трой Хант утверждает, что его сервис проверки не сохраняет данные, которые вы вводите. Но подстраховаться стоит. Потому рекомендуем сперва сменить пароль на новый, а уже потом проверить старый пароль на HaveIBeenPwned. Если совпадений найдено не будет - все в порядке. Если будет найдено лишь одно совпадение - либо адреса электронной почты, либо пароля - полбеды. Если же в базе обнаружится и то, и другое, то велика вероятность, что в вашем почтовом ящике успели покопаться.
Если так - проверьте, какая информация в нем была сохранена. Если в письмах хранились данные для авторизации на других сервисах - пароли от них тоже следует поменять.
Что делать дальше?
Как мы уже рассказывали, ситуация с безопасностью будет только хуже, а взломов и утечек будет становиться больше. Потому, если вы до сих пор не уделяли должного внимания безопасности - самое время начать.
Сам Трой Хант рекомендует пользоваться менеджерами паролей и всячески продвигает проект 1Password. Вы можете воспользоваться этим менеджером, или каким-то другим. Но также вы вполне можете положиться на собственную память.
Само собой, ни в коем случае нельзя использовать один пароль на нескольких сайтах. Это - самое безрассудное и опасное, что вы можете сделать. Но в памяти вы все равно можете хранить лишь один сложный пароль. В этой статье мы уже рассказывали о том, как придумать единственный сложный пароль и сделать его уникальным для множества сайтов. Если вкратце - нужно придумать сам мастер-пароль и ключ, с помощью которого вы будете его модифицировать, используя элементы названия ресурса. К примеру, первую букву из названия сайта вы вставляете после первой буквы своего мастер-пароля, а последнюю букву названия сайта - перед последней буквой пароля. Это - простой пример, но вы можете менять его на свое усмотрение. Сам я пользуюсь этой системой уже не один год и пока она не давала сбоев. Только что я проверил часть использованных паролей через ресурс Ханта. Ни один из них не был скомпрометирован.
А о паролях типа “12345678” - забудьте, как о самом страшном сне. Времена, когда такие пароли можно было себе позволить, давно прошли.