В начале недели мой коллега Крис, один из редакторов сайта Threatpost, написал статью о том, как Dropbox заставил поменять пароли всех пользователей, которые не делали этого с 2012 года. Компания при этом назвала свои действия «чисто профилактической мерой».
От взлома Dropbox, произошедшего четыре года назад, и последовавших за этим рассылок спама пострадало множество пользователей. Но масштаб проблемы люди начали осознавать только в этом году — после того как украденные данные пользователей всплыли онлайн. Прошлой ночью ресурс Motherboard сообщил, что база данных, о которой говорят в даркнете, настоящая и что она содержит более 68 млн учетных записей Dropbox.
Motherboard отмечает, что Dropbox не располагает сведениями о случаях несанкционированного доступа к учетным записям пользователей. Из более чем 68 млн украденных аккаунтов 32 млн были защищены с помощью bcrypt; все остальные захешированы с помощью SHA-1.
Что это значит?
Согласно Motherboard, украденные данные Dropbox пока не продаются на большинстве подпольных сайтов. Скорее всего, так получилось потому, что цена правильно защищенных паролей на черном рынке не слишком высока. Но история еще не окончена, и мы бы советовали вам следить за развитием событий на Threatpost — они всегда быстро реагируют на новости из мира кибербезопасности.
Итак, пароли украдены. Что делать?
В глобальном масштабе эта утечка — всего лишь еще один случай в длинной череде подобных взломов: LinkedIn, MySpace, Tumblr, OKCupid, Spotify (у которого данные крали аж два раза) и так далее. Одни преступники взламывают компании, чтобы украсть данные и перепродать их другим преступникам, — так было и так будет. Поэтому нам с вами, обитателям цифрового мира, нужно научиться лучше защищать свою жизнь в Сети. Как обычно, мы предлагаем вам короткий список рекомендаций по обеспечению кибербезопасности.
1. Используйте надежные пароли и регулярно их меняйте. Пароли должны быть одновременно легко запоминаемыми и достаточно сложными. Если вы сомневаетесь в том, насколько надежна та или иная комбинация, проверьте ее здесь.
Очень полезная тема: как пользоваться паролями — 10 простых правил: https://t.co/RtQTf2Mm7T pic.twitter.com/XP6vrwJShJ
— Kaspersky (@Kaspersky_ru) December 21, 2015
Ну и согласитесь, использовать один и тот же пароль годами — это плохая идея. Поэтому стоит периодически менять пароли на самых важных сайтах — в интернет-банках, «ВКонтакте», Facebook, LinkedIn, а также пароль от вашей главной почты. Если вам не хочется тратить время на придумывание, запоминание и смену паролей, используйте специальную программу вроде Kaspersky Password Manager.
2. Удаляйте старые учетные записи. Когда в мае все заговорили о взломе MySpace, многие люди спрашивали: «А что, кто-то им еще пользуется?» Действительно, у этого сайта сейчас не так много активных пользователей, но вот неиспользуемых аккаунтов вполне достаточно. Люди завели учетные записи в начале 2000-х — и со временем забыли о них, перейдя на более удобные Twitter или Facebook.
Если вы не пользуетесь учетной записью, то во время очередной массовой утечки ее могут украсть, а вы даже и не заметите. Ну а если вы используете один и тот же пароль на разных сайтах, то у вас могут украсть не один аккаунт, а сразу несколько.
3. И кстати, не используйте один и тот же пароль несколько раз. Если вы делали так раньше, то смените одинаковые пароли во всех своих учетных записях на уникальные.
4. Подключите двухэтапную аутентификацию. Большинство онлайн-сервисов позволяют это сделать с помощью специального приложения или по SMS. Кстати, Dropbox тоже поддерживает двухфакторную аутентификацию.
Вы можете десять раз подряд выговорить "двухфакторная аутентификация"? И мы нет :( http://t.co/whFhIx5Cpb #security #безопасность
— Kaspersky (@Kaspersky_ru) June 10, 2014
5. Будьте очень осторожны при подключении аккаунтов к сторонним сервисам. Многие онлайн-сервисы, например Facebook и Dropbox, разрешают вам подключать сторонние сервисы, чтобы получить больше возможностей: быстрее регистрироваться на сайте или соревноваться с друзьями по игре. Так можно эффективнее и удобнее пользоваться разными услугами сайта (например, не надо запоминать очередной пароль). Однако удобство не означает безопасность. Насколько надежен этот сторонний разработчик, которому вы доверяете свои данные?
Утечка данных Dropbox — это еще одно напоминание: преступники не дремлют, и нам с вами тоже нужно быть настороже. В наших домах стоят замки и сигнализации, но нашему месту обитания в Интернете тоже важно обеспечить защиту и безопасность.