Μισό δισεκατομμύριο e-mail-password στη μαύρη αγορά -ίσως και το δικό σας

Εκατοντάδες εκατομμύρια χρήστες διαδικτυακών υπηρεσιών, οι οποίες ήταν ιδιαίτερα δημοφιλείς προ 8ετίας, όπως «το Facebook της εποχής», MySpace, ή το LinkedIn, διαπιστώνουν ότι τα στοιχεία τους -διευθύνσεις e-mail, login name και password- διατέθηκαν πρόσφατα προς πώληση, χρόνια μετά την υποκλοπή τους. Εξαναγκάζονται έτσι, να αλλάξουν κωδικούς σε πλήθος δικτυακών τόπων ό,που είναι πιθανό να χρησιμοποιούν ακόμα το ίδιο password.

Τον Μάιο, έγινε γνωστό ότι εκτέθηκαν 164 εκατομμύρια λογαριασμοί ηλεκτρονικού ταχυδρομείου και οι σχετικοί κωδικοί εισόδου στην κυρίαρχη υπηρεσία επαγγελματικής δικτύωσης, LinkedIn. Τα στοιχεία αυτά αφορούν μέλη του LinkedIn που το 2012 είχαν ήδη δημιουργήσει λογαριασμό. Η συντριπτική πλειονότητα των password που υποκλάπηκαν αποκρυπτογραφήθηκαν.

Λίγο αργότερα, επίσης το Μάιο του 2016 βρέθηκαν διαθέσιμα προς πώληση username και password 380 εκατομμυρίων μελών του MySpace το 2008. Στη λίστα που διατέθηκε στην μαύρη αγορά («Real Deal») περιλαμβάνονται και τα SHA1 hash των 10 πρώτων χαρακτήρων των κωδικών που μετατράπηκαν σε πεζά και αποθηκεύονταν επίσης χωρίς περαιτέρω πρόνοια για το απόρρητό τους (χωρίς «αλάτι»). Σύμφωνα με τις εκτιμήσεις των ειδικών, αυτή η διαρροή αφορά ανθρώπους που πριν από 8 χρόνια ήταν μέλη του δημοφιλούς τότε κοινωνικού δικτύου, προγενέστερου του Facebook.

• Κάποιες υπηρεσίες υποβάλλουν τους κωδικούς εισόδου σε hash, δηλαδή σε αντιστοίχιση με συμβολοσειρές σταθερού μήκους και τους «αλατίζουν», δηλαδή, συνοπτικά θα μπορούσαμε να πούμε ότι στον αλγόριθμο που παράγει το κρυπτογραφημένο password, το hash, έχει πέσει και λίγο «αλατάκι», δηλαδή τυχαία δεδομένα ώστε να αυξηθεί η πολυπλοκότητα της αποκρυπτογράφησης.

Το σημαντικότερο πρόβλημα που ανακύπτει μετά από τις διαδοχικές, και ενδεχομένως συνδεδεμένες, ογκώδεις διαρροές στοιχείων είναι ότι αν και πρόκειται για στοιχεία προ 4ετίας ή 8ετίας αντίστοιχα, δεν είναι λίγοι οι χρήστες που συνεχίζουν να χρησιμοποιούν το ίδιο password όχι απαραίτητα για την ίδια υπηρεσία (π.χ. στο LinkedIn, όχι απαραίτητα όμως στο MySpace που εγκαταλείφθηκε λίγα χρόνια αργότερα) αλλά για άλλες, όπως εξηγεί ο Τρόι Χαντα, ένας από τους ειδικούς σε θέματα ασφαλείας που μελετά τα συμβάντα.

• Ο Τρόι Χαντ καλεί τους χρήστες να αναζητήσουν στο https://haveibeenpwned.com/ την e-mail διεύθυνσή τους στις λίστες που έχουν τεθεί προς πώληση και εάν την εντοπίσουν, να σπεύσουν να αλλάξουν password.

Εκτός από το LinkedIn και το MySpace, ο ερευνητής προσθέτει ότι την ίδια περίοδο διατέθηκαν προς πώληση και λίστες στοιχείων του 2011 από υποκλοπή στην υπηρεσία γνωριμιών Fling, καθώς και από το Tumblr με στοιχεία του 2013.

Ανθή Παναγιωτάκη, @anthi

tech.in.gr