Pri každej správe o veľkom úniku sa v hlave spustí rovnaký alarm: „Som tam aj ja?“ A nie, Tošo, toto nie je paranoia v alobale, ale úplne normálna reakcia na internet, kde sa ukradnuté účty recyklujú roky. E-maily, heslá, staré databázy z fór, e-shopov, aplikácií a služieb sa miešajú do balíkov, kombinlistov a občas skončia aj na darkwebe. Preto otázka „sú moje heslá na darkwebe?“ nie je trápna. Trápne je tváriť sa, že sa to týka len „tých druhých“.
Dôležité je nezačať panikáriť. To, že sa tvoj e-mail alebo staré heslo objaví v úniku, ešte automaticky neznamená, že ti niekto práve číta Gmail, objednáva botasky z tvojho účtu alebo mení profilovku na Facebooku. Znamená to, že tvoje údaje sa niekde dostali von a treba sa správať tak, akoby ich mohol niekto skúšať zneužiť.
Čo v článku nájdeš
V článku si vysvetlíme, čo znamená únik dát, prečo sa ukradnuté e-maily a heslá objavujú v databázach na darkwebe a ako si bezpečne overiť, či sa tvoje údaje nachádzajú v známych únikoch. Ukážeme si aj rozdiel medzi starým dumpom, recyklovaným kombinlistom a aktuálnym rizikom.
Prečo je to dôležité
Ak sa tvoje heslá na darkwebe objavia, nemusí to hneď znamenať hack účtu, ale určite to znamená varovanie. Najväčšie riziko vzniká vtedy, keď rovnaké heslo používaš na viacerých službách. Preto je dôležité zmeniť dotknuté heslá, zapnúť 2FA a prestať recyklovať prihlasovacie údaje.
Čo vlastne znamená únik dát
Únik dát znamená, že niekto získal databázu zo služby, kde si mal účet. Môže ísť o e-shop, fórum, sociálnu sieť, hernú platformu, cloud alebo starú stránku, na ktorú si sa registroval v roku 2013 a odvtedy si na ňu zabudol. Typicky unikne e-mail, používateľské meno, hash hesla a niekedy aj ďalšie údaje ako meno, adresa, telefón či interné informácie o účte.
Najväčší problém je kombinácia e-mail + heslo. Útočníci ju vedia skúšať na iných službách. Tomu sa hovorí credential stuffing – útok, pri ktorom sa používajú prihlasovacie údaje ukradnuté z predchádzajúcich únikov a automaticky sa skúšajú inde. CISA aj bezpečnostné zdroje tento typ útoku opisujú ako zneužitie starých kompromitovaných prihlasovacích údajov na prienik do ďalších účtov.
Ak chceš pochopiť, prečo sú práve heslá, firemné prístupy a ukradnuté databázy na darkwebe také cenné, pozri si aj môj článok Ako funguje predaj na darkwebe a prečo sú bežné heslá cennejšie než karty.
A tu je pointa: ak si rovnaké heslo použil na fóre, e-shope aj v e-maile, jeden starý únik môže ohroziť tri úplne iné služby. Nie preto, že by všetky tri boli hacknuté, ale preto, že si im dal rovnaký kľúč od dverí.
Ako bezpečne overiť, či si v úniku
Najznámejší legitímny nástroj je Have I Been Pwned. Umožňuje zadať e-mailovú adresu a zistiť, či sa objavila v známych únikoch. Na hlavnej stránke HIBP uvádza, že kontroluje, či bol e-mail kompromitovaný v dátovom úniku, a zároveň zobrazuje počet zahrnutých databáz a „pwned“ účtov.
Mini návod: kontrola e-mailu cez HIBP
Overovaniu hesiel cez službu HIBP sa venujem aj v článku „Overenie hesla cez HaveIBeenPwnd“ kde podrobnejšie popisujem ako služba funguje a ako si overiť heslo alebo mail.
- Otvor Have I Been Pwned.
- Zadaj svoj e-mail.
- Pozri, v ktorých únikoch sa objavil.
- Skontroluj dátum úniku a typ údajov.
- Ak ide o službu, ktorú ešte používaš, okamžite zmeň heslo.
- Ak si heslo používal aj inde, zmeň ho aj tam.
HIBP má aj notifikácie. Vieš si nastaviť upozornenie a ak sa tvoj e-mail objaví v budúcom úniku, služba ti pošle správu. Samotná stránka „Notify Me“ to popisuje jednoducho: dostaneš upozornenie, keď sa tvoj e-mail objaví v budúcom data breachi.
Ako overiť heslo bez toho, aby si ho poslal cudzej stránke
Toto je extrémne dôležité: nikdy nezadávaj svoje reálne heslo na náhodné stránky, ktoré sľubujú „zistíme, či je tvoje heslo na darkwebe“. To je ako keby si zlodejovi poslal fotku kľúča s otázkou, či je bezpečný.
HIBP má službu Pwned Passwords, ktorá umožňuje overiť, či sa heslo nachádza v známych únikoch. Je navrhnutá tak, aby sa neodosielalo celé heslo. Heslo sa lokálne zahashuje a overovanie môže fungovať cez princíp k-anonymity, kde sa serveru pošle len časť hashu a klient si zvyšok overí lokálne. Troy Hunt, tvorca HIBP, vysvetľuje, že tento prístup umožňuje vyhľadávanie v uniknutých heslách bez toho, aby služba musela poznať celé heslo.
HIBP API dokumentácia zároveň uvádza, že Pwned Passwords API je voľne dostupné a pracuje s hashmi hesiel, nie s obyčajným textom hesla.
Mini návod: bezpečná kontrola hesla
- Použi iba dôveryhodný nástroj, ideálne HIBP alebo password manager, ktorý ho integruje.
- Nikdy nepíš heslo do náhodných „dark web scannerov“.
- Ak služba chce celé heslo v plaintext forme a nevysvetľuje bezpečný mechanizmus, odíď.
- Ak heslo nájdeš v úniku, nepolemizuj s vesmírom. Zmeň ho.
Dark web monitoring nie je magický štít
Veľa password managerov, bezpečnostných balíkov, bánk alebo identity služieb dnes ponúka „dark web monitoring“. Znie to dramaticky, ako keby niekto v kapucni denne prechádzal digitálne podzemie a hľadal tvoje meno. V praxi ide väčšinou o porovnávanie e-mailov, domén, telefónov alebo iných údajov s databázami známych únikov, komerčnými feedmi a verejnými zdrojmi.
Je to užitočné, ale treba pochopiť jednu vec: monitoring nie je ochranný štít. Nezabráni tomu, aby tvoja služba unikla. Len ťa rýchlejšie upozorní, že sa tvoje údaje objavili v balíku uniknutých dát. To je rozdiel medzi hasiacim prístrojom a požiarnym senzorom. Senzor ti povie, že horí. Neuhasí to za teba.
Starý dump verzus aktuálne riziko
Keď zistíš, že tvoje údaje unikli, treba rozlišovať tri situácie.
1. Starý únik a heslo si už zmenil
Riziko je nižšie. Najmä ak účet už nepoužívaš alebo si heslo zmenil dávno po úniku. Stále však skontroluj, či si to isté heslo nepoužíval inde.
2. Novší únik a účet stále používaš
Toto už je reálny problém. Ak unikla kombinácia e-mail + heslo alebo hash, ktorý sa dá prelomiť, útočníci ju môžu skúšať veľmi rýchlo.
3. Kombinlisty a recyklované databázy
Toto je najväčší zdroj zbytočnej paniky. To, že sa tvoje údaje objavia v desiatich rôznych „balíkoch“ na darkwebe, nemusí znamenať desať samostatných únikov. Často ide o tie isté staré údaje, len prebalené, premiešané a predávané pod novým názvom. Internetový bazár s digitálnym haraburdím, len menej romantický.
Čo urobiť, keď zistíš, že si „tam“
Tu už netreba filozofovať. Treba konať.
FTC odporúča po oznámení o data breachi okamžite zmeniť heslo dotknutého účtu, najmä ak únik zahŕňal heslo, a zmeniť ho aj na účtoch, kde sa používalo rovnaké alebo podobné heslo. Odporúča tiež používať password manager na silné a unikátne heslá.
Checklist po úniku dát
- Skontroluj, v akej službe nastal únik dát.
- Zmeň heslo na dotknutom účte.
- Ak si rovnaké heslo používal inde, zmeň ho všade.
- Zapni 2FA alebo MFA, ideálne cez aplikáciu alebo hardvérový kľúč.
- Skontroluj históriu prihlásení a neznáme zariadenia.
- Pri e-maile skontroluj pravidlá preposielania a recovery adresy.
- Pri banke alebo kartách sleduj transakcie.
- Dávaj pozor na phishing po úniku.
- Nastav si breach monitoring alebo notifikácie cez HIBP.
- Začni používať password manager, ak ho ešte nemáš.
Kedy panikáriť a kedy len upratať
Panika pri slove darkweb nepomáha. Väčšina únikov sú staré databázy e-mailov a hashovaných hesiel. Reálne riziko rastie vtedy, keď je heslo stále platné, recyklované na viacerých účtoch alebo keď sú v úniku citlivé údaje ako čísla dokladov, karty, adresa, cookies či access tokeny.
Najlepšia otázka preto nie je len: „Mám heslá na darkwebe?“ Lepšia otázka je: „Mám dnes účty nastavené tak, aby ma starý alebo budúci únik hesiel na darkweb neodpálil?“
Ak máš unikátne heslá, password manager a 2FA, únik jedného účtu je nepríjemnosť. Ak máš všade to isté heslo, je to domino. A domino v kyberbezpečnosti nikdy nepadá elegantne. Skôr ako skrinka plná starých káblov, keď otvoríš nesprávne dvierka. 😄
Zdroje :
sentinelone, wikihow, spycloud
