Ani na sklonku roku 2018 nejsou mnohé internetové společnosti první kategorie schopné zajistit dostatečné zabezpečení svých databází. Tentokrát si smůlu vybrala Quora – web na pokládání otázek prakticky na jakékoliv téma. Chcete vědět, kolik váží krtek? Na Quoře vám to někdo napíše.
Quora během let vyrostla na poměrně rozsáhlou službu a o to je únik dat větší – firma na svém blogu píše, že doposud neznámý útočník získal v pátek neautorizovaný přístup do databází a mohl stáhnout údaje až o 100 milionech uživatelů.
Co přesně mohl útočník získat?
- Jméno, e-mail a další popisné informace
- Hash hesla
- Veškerou aktivitu na službě
Jinými slovy vše.
Lze předpokládat, že se časem data objeví na darknetu k prodeji a na webu haveibeenpwned.com, na kterém si můžete ověřit, jestli váš e-mail figuruje v některém z úniků. Aktuálně ví o krádežích dat z 328 webových stránek a eviduje 5,6 miliard účtů.
Jak se bránit podobným útokům?
Jak se proti podobným útokům bránit? Na výběr máte dvě základní cesty. Tou první je samozřejmě na každé službě používat odlišné heslo a při registraci můžete volit i odlišné e-mailové aliasy. Jen připomenu, že pokud používáte Gmail, můžete zvolit namísto základní formy pepa.novak@gmail.com také alias v podobě pepa.novak+quora@gmail.com.
Gmail znaky za znaménkem + pochopí jako alias a i tato adresa bude mířit do vaší poštovní schránky. Podstatné je to, že když by vám po podobném úniku začala chodit na tento alias nevyžádaná pošta a malware, můžete si snadno nastavit filtr, který veškerou poštu mířící na tuto adresu jednoduše okamžitě smaže.
Druhou možností je přihlašování ke službám skrze autoritu třetí strany. Tedy třeba skrze Facebook, Twitter, Google aj. Stále více webů to umožňuje, a pokud poté na hlavní autoritě používáte dvoufaktorové přihlašování, bezpečnostní riziko je mnohonásobně nižší. Ostatně Google je jeden z mála posledních velkých hráčů, kterému zatím nikdo žádná podobná data z Gmailu neukradl (nebo nám o tom zatím neřekl).
Comments