Daniel Bradbury Dočekal Máte e-mail? Nejlépe nějakou delší dobu? Tak si zajděte zkontrolovat, jestli se právě ten váš e-mail a heslo s ním spojeno neocitl v nějakém úniku ze zahraničních (ale i českých) služeb a aplikací. Jeden z takových úniků byl před lety ten od Adobe, později neméně velký od Yahoo či Linkedin a dalších velkých jsou desítky. Velkých znamená, že jde o desítky až stovky milionů přihlašovacích údajů. Jak to udělat?
Návod najdete v Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel? nebo prostě jděte na www.haveibeenpwned.com a tam si to vyzkoušejte.
Česko má totiž novou aféru, “únik” hesel. Na iDnes.cz najdete jako Hackeři prodávají e-maily i hesla politiků a vysokých úředníků za pár korun a na iRozhlas.cz jako Poslanec Farský, exministr Zaorálek i soudce Šámal. E-maily a hesla stovek politiků a úředníků lze koupit za 60 korun).
A je potřeba k tou dodat pár podstatných věcí. Ta první je, že nemusíte nic kupovat, všechno o čem je řeč je už roky dostupné zdarma. A celé to vlastně není žádná aféra, jen ukázky čistě osobních selhání, ať už z neznalosti nebo nezodpovědnosti.
Blahoslavení chudí duchem
Třeba takový Poslanec Farský k úniku svého hesla říká, že : Možná ještě někde zůstalo. A dodává, že by čekal bych varování od úřadů. Osobně bych k tomu dodal, že je to právě Farský (a všichni ostatní “postižení”), kdo by si měl hlídat, kde mu jaký e-mail s heslem unikl. A také hlídat aby nikdy nepoužil stejné heslo více než jednou a jakékoliv uniklé heslo už nikdy nepoužil.
Na to nepotřebuje žádná úřad. A žádný úřad nemůže dělat to, že za každého jednotlivce bude dělat to, co si má dělat on sám.
Dobré vědět: V Exploit.in je 38 hesel s @psp.cz e-maily, ale také 34 hesel @senat.cz e-maily.
V rozhovoru s Farským je navíc vidět i další zásadní bezpečnosti selhání – Farský (ale i řada dalších) pro registrace na Internetu používá poslanecký e-mail – dokonce si to ani nepamatuje, ale usvědčuje ho to, že jeho e-mail a heslo uniklo z Linkedin (ze kterého v roce 2016 neznámí hackeři ukradli 164 milionů přihlašovacích údajů). Tohle je zásadní, protože firemní e-mail nemá co dělat jako e-mail pro registrace na sociální sítě a weby.
Celé to má ještě jeden zásadní možný dopad. Pokud Farského heslo zná už od roku 2016 celý svět, tak je skoro jisté, že totéž heslo použil i na dalších webech, službách, databázích. Navíc nejenom on, ale množství dalších lidí, jejichž e-maily a hesla jsou v některém z oněch úniků. A protože neměl nejmenší tušení o úniků (přitom o Linkedin se hodně psalo, Linkedin varovali uživatele, ad), tak možná právě tohle roky staré heslo stále platí. Možná.
Pokud se tedy vrátit k úvodu a slovu únik, tak v tomto případě o žádný únik nejde – jen kompilaci e-mailů a hesel z dřívějších úniků. Což z toho ale nedělá něco méně nebezpečného nebo problematického. Hlavně proto, že v této kauze postižení politici a úředníci hrubě zanedbávají ty nejzákladnější pravidla na ochranu soukromí – a pokud jejich přihlašovací údaje byly někým využity, tak může jí to daleko zásadnější únik než jen o “nějaké” heslo k Linkedin. Byť i získání přístupu k Linkedin může v případě veřejné osobnosti být velmi zajímavé a zneužitelné.
Našli jste váš e-mail v HaveIBeenPwned?
Zkusili jste si váš e-mail (všechny vaše e-maily) najít na Haveibeenpwned.com a našli? Pak je jasné, že vaše heslo spojené s daným e-mailem je veřejně známé. Kompromitované, nesmíte ho už nikdy použít. Všude kde jste ho použili ho musíte změnit. Všude. Včetně míst, kde jste totéž heslo použili s jiným e-mailem, co vám také patří.
V Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby je postup jak zachránit co se dá, pokud se někomu podařilo získat vaše heslo a navíc už došlo i k tomu, že ho použil. Čemuž správně rozumějte, hacknuli vám účet. To už vůbec není zábavné, protože třeba u výše uvedeného Jana Farského to může znamenat, že neznámí lidé mají všechno co se jim podařilo s jeho přihlašovacími údaji získat. Možná má hacknutý počítač, napadený mobil, tablet, notebook. Možná použil stejné heslo pro přístup k nějakým informačním systémů státní správy.
Takže, opět malý návrat – ze všeho nejvíc by navíc chtělo se začít chovat zodpovědně jak k e-mailům tak k heslům. Něco k tomu najdete třeba v Jaká jsou nejpoužívanější hesla a jak vůbec zacházet s hesly na Internetu?
PS: Jan Farský je v únicích vlastně jenom jednou. Ale co třeba toto:
