szerző:

Két listáról, összesen 1 milliárdnál is több felhasználónév-jelszó páros került be a legnagyobb, adatlopásokat rögzítő oldal adatbázisába. Átfedések vannak, de még így is 830 milliónyi belépési adatról beszélünk. Egy gyors kereséssel kiderítheti, hogy érintett-e.

December óta a Have I been pwned oldal alapítója sorra kapta az e-maileket, melyben egy bizonyos orosz weboldalon lévő csomagra mutató link szerepelt. Az oldalon 17 gigányi szöveges fájl volt, bennük összesen 457 962 538 darab különböző (!) e-mail-címmel, illetve a hozzá tartozó jelszavakkal. (Ezek nem feltétlen csak e-mail-szolgáltatások belépő adatai, hiszen egy e-mail-jelszó kombinációt kell megadni regisztrációkor szinten minden webes szolgáltatásnál. Így aztán az adatok sokféle weboldalról származnak.) Ahogy Troy Hunt írja a blogjában, látta, hogy óriási adatmennyiségről van szó, de az adatsorból nem nagyon derült ki semmi, a forrását sem lehetett megállapítani, így félretette a dolgot. Az e-mailek azonban továbbra is jöttek, így a napokban arra újra elővette az óriási adatbázist.

Pénzért árulták a több száz milliós adatbázist.
©

A közel félmilliárd címből 130 ezren fel voltak iratkozva a Have I been pwned oldal értesítéseire, így aztán írt néhányuknak egy e-mailt, benne az orosz oldalon megtalált jelszavukkal, és arra kérte őket, hogy erősítsék meg, valódi jelszavakról van-e szó. Sokan visszaírtak, visszaigazolván, hogy igen, valóban használják vagy használták az adott jelszót. Azt viszont sehogy sem lehet kilogikázni, hogy honnan is származnak az adatok: akik visszaírtak, vagy nem emlékeztek rá, hogy hol is adták meg pontosan azt a jelszót, vagy mindenhol ugyanazt használják, így aztán nem lehet visszakövetkeztetni, hogy honnan került elő ez az óriási adatbázis.

Így sem túl megnyugtató a dolog, az Anti Public névre keresztelt gyűjtemény után előkerült ugyanis egy másik, még hosszabb lista: az Exploit.In 24 gigányi szövegfálban összesen 593 427 119 különböző e-mail-cím szerepel. Troy Hunt – aki egyébként egy saját, korábbi e-mail-jelszó párosát is megtalálta a második listán – ezután összevetette a két listát, és kiderült, hogy a második lista kétharmada nem szerepel az elsőn. Így tehát nagyjából 830 millió milliónyi e-mail-cím + jelszó párost tartalmaz a lista, melyet már ráengedtek a Have I been pwned oldalra, ide kattintva ellenőrizheti, hogy az ön adatait ellopták-e. Az ellenőrzéshez az e-mail-címét kell megadnia. Ha nem bízik (az egyébként teljesen megbízható) oldalban, és nem akarja kiadni címét, akkor elég az is, ha csak a @ előtti azonosítóját adja meg – így persze sokféle találatot kaphat.

Ha nincs rajta a listán, akkor is hasznos lehet, de ha szerepel rakta, akkor mindenképp próbálja ki: így csinálhat 1 perc alatt könnyen megjegyezhető jelszót, amit senki nem fog kitalálni.