Wyciekło 8 miliardów haseł – to może być największy wyciek w historii

Najnowszy wyciek haseł, zatytułowany RockYou2021 (od nazwy pliku tekstowego, który opublikowali hakerzy), może być największym tego typu wyciekiem w historii. Zawiera on niespełna 8,5 miliarda unikalnych haseł – zarówno nowych, jak i takich, które pojawiały się już we wcześniejszych wyciekach.

100GB pliku tekstowego i 8,5 miliarda haseł

Plik tekstowy o nazwie RockYou2021.txt pojawił się na popularnym forum dla hakerów. Waży on około 100GB i zawiera około 82 miliony wpisów, natomiast po wykluczeniu powtórek, których jest tam sporo, pozostaje aż 8,459,060,239 unikalnych haseł. Każde z nich ma od 6 do 20 znaków, przy czym usunięto puste przestrzenie oraz znaki nienależące do systemu ASCII.

Warto zwrócić uwagę na fakt, że część haseł zawartych w tym pliku pokrywa się z dwoma poprzednimi ogromnymi wyciekami, które miały miejsce jakiś czas temu. Pierwszy określa się powszechnie jako Compilation of Many Breaches (COMB), a drugi nazwano breachcomp2.0 (COMB). One też z kolei nie były całkowicie nowymi wyciekami, tylko kompilowały dane z setek poprzednich ujawnionych plików.

Ciężko więc powiedzieć, ile całkowicie nowych haseł ujawniono w tym wycieku. Trzeba pamiętać, że nawet, jeśli taka kompilacja nie zawiera nic nowego, to wciąż zebranie przez kogoś wielu wycieków w jedną całość ułatwia życie innym oszustom, co czyni ją niebezpieczną.

Mając taki jeden, duży plik, prostsze jest połączenie ze sobą danych z różnych wycieków, tak, aby odszukać kombinację loginu i hasła czy też maila i hasła, która pozwoli dostać się na konto ofiary.

Jak sprawdzić, czy moje dane wyciekły?

Jeśli boisz się, że Twoje hasło może być wśród tych ujawnionych w wycieku RockYou2021, możesz wykorzystać takie narzędzia, jak Have I been Pwned, aby sprawdzić, czy “hula” ono po sieci. Warto też dla bezpieczeństwa po prostu pozmieniać hasła, zwłaszcza do najważniejszych kont (np. do skrzynki e-mailowej) – i tak najlepiej robić to raz na kilka miesięcy.

Tego typu wycieki, które zdają się w ostatnim czasie występować wręcz nagminne, udowadniają, że w obecnych czasach uwierzytelnienie dwuetapowe (2FA) jest już nie ciekawostką, a wręcz musem. Dane wyciekają ciągle – i to często z topowych firm, które w teorii powinny być w stanie je obronić.

Dzięki uwierzytelnieniu dwuetapowemu nawet, jeśli ktoś pozna nasze hasło, i tak nie dostanie się na konto. Potrzebne będzie bowiem potwierdzenie logowania w jeszcze inny sposób, na przykład poprzez wpisanie kody wysłanego na numer telefonu powiązany z kontem.

Co o tym wszystkim sądzicie? Jakie Wy stosujecie zabezpieczenia i dobre praktyki, mające na celu zabezpieczenie Waszych kont przed oszustami? Koniecznie podzielcie się swoimi radami w komentarzach!