17 января мир потрясла новость: утекли пары логин/пароль почти 773 млн пользователей! Причём нашли эти данные в открытом доступе чьего-то аккаунта облачного диска MEGA. Её назвали «Коллекция #1».
Общий вес этой утечки составил 87 ГБ. Её практически сразу назвали самой крупной за всю историю интернета. Но кто же знал, что почти через две недели нас будет ждать кое-что посерьёзнее…
Что случилось?
29 января издание Heise опубликовало сведения о новых утечках. Их назвали «Коллекции #2–5».
Только вчитайтесь в эти цифры: 845 ГБ. 25 млрд записей. Более 2,2 млрд уникальных пар логин/пароль. Это беспрецедентные цифры. По подсчётам Forbes, все пять «Коллекций» затрагивают каждого третьего жителя Земли.
На данный момент существует уже несколько копий этих «Коллекций». Исследователи насчитали не менее 130 штук. Есть и информация по скачиваниям: более тысячи раз. То есть удалить эту инфу из интернета не получится никогда.
Стоит ли мне волноваться?
Да. 2,2 млрд уникальных пар ещё не говорит о том, что эти утечки затронули почти треть населения нашей планеты. Но, скорее всего, если вы зарегистрированы на популярных сервисах, то ваших данные есть в этих базах.
Что содержится в этих «Коллекциях»?
Ответить на этот вопрос довольно сложно. Вероятно, это общий массив некогда случившихся утечек. То есть данные могут быть устаревшими. Но подчеркну, что это всего лишь догадки.
Как проверить свои данные?
Мир не без добрых людей. Среди них эксперт по веб-безопасности Трой Хант. Он создал несколько сайтов, помогающих пользователям понять, утекли их данные или нет.
- На первом из них вы можете проверить, есть ли ваш e-mail в этих базах;
- На втором — есть ли ваш пароль в этих «Коллекциях» и других утечках.
На всякий случай проверяйте свои данные так, чтобы связку «логин/пароль» нельзя было связать воедино: из разных мест, с разных устройств и разных подключений интернета.
Я вот узнал, что моя постоянная почта есть в этом списке. С этим e-mail я зарегистрировался минимум на шести сайтах, откуда в то или иное время слили данные. Среди них DropBox и Tumblr. Хорошо, что ни один из моих постоянных паролей не замечен в этой базе.
Институт Хассо Платтнера создал сайт, где вы можете проверить данные по всем пяти «Коллекциям». Ответ придёт на ту почту, что вы указали при проверке. При этом там покажут, какие именно данные утекли. Вот как выглядит ответ института мне:
Не очень понятно, есть ли мои данные со второй по пятую утечку, но хоть что-то.
Что дальше?
Поменяйте пароль. Даже если вы не нашли свои данные ни на одном из сайтов. Помните, в этих «Коллекциях», скорее всего, содержатся устаревшие данные. Кто знает, куда могли слить ваши логины и пароли в январе?
Используйте сложные пароли. Сложные — это не пароль Канье:
Сложные — это минимум двадцать рандомных не только цифр и букв, но и специальных символов.
Понимаю, это сложно. А ещё это бесит. Но, скорее всего, вы сами не помните, где регистрировались и какие данные оставляли. Если у вас один пароль для всех сайтов, то, вероятно, можно легко узнать данные вашего счёта в банке и даже трёхзначный код, который требуют при онлайн-покупках.
Также эксперты рекомендуют использовать менеджер паролей. Heise советует Enpass, KeePass, Password Depot или SafeInCloud. Forbes рекомендует обратить внимание на 1Password, LastPass или Dashlane.
