V Ruský hacker prodává 272 milionů hesel do Gmailu, Hotmailu a dalších služeb se můžete dočíst o „úniku“ 272 milionů e-mailů a hesel z řady online služeb (desítky milionů z Gmailu, Hotmailu či Yahoo).
Použití slova „únik“ v uvozovkách bylo už minulý týden nutné, celé to vypadalo velmi podezřele, v příznivějším případě jako kompilace již dřívějších úniků přihlašovacích údajů. Některým zahraničním médiím to ale bylo dost dobré k vyvolání paniky (třeba Tech experts: Change your email password now je povedené, včetně hloupostí o anonymním režimu prohlížeče).
Podle Googlu a Yandexu je předmětných 272 milionů mailů prostě podvrh. Google dokonce uvádí, že 98 % z údajů týkajících se Gmailu obsažených v „úniku“ je falešných. Což může znamenat třeba i to, že onen „únik“ je prostě náhodně vygenerovaný. Někdo vzal dřívější úniky, přidal spammerské databáze, doplnil o náhodně vygenerovaná hesla a pokusil se to prodat.
V Yandexu zjistili, že 99,98 % z e-mailů v „úniku“ není platných. 23 % jsou e-mailové adresy, které neexistují. 65 % obsahuje neplatná hesla a 12 % jsou účty, které jsou již neplatné, většinou kvůli dřívější kompromitaci, ale také proto, že byly založeny strojově a poté zneužívány.
Jak je to s účty z Hotmailu, známo není, a Yahoo se pouze vyjádřilo ve smyslu, že „nevěří, že by bylo jakékoliv významné riziko pro uživatele“. Každopádně, pokud by kterákoliv z těchto společností objevila, že údaje v „úniku“ jsou platné, tak by zcela jistě (inu, doufejme) informovala veřejnost a účty s uniklými hesly řešila.
Ars Technica připomíná, že „hacker“ chtěl za databázi původně 50 rublů, ale nakonec ji poskytl ochotně zdarma výměnou za publicitu. Což lze považovat za dostatečně podezřelé. Kritizují ale také Hold Security a Alexe Holdena, že vše předal novinářům, aniž by se ještě předtím snažil u dotčených poskytovatelů služeb ověřit platnost.
Už déle je jasné, že jakékoliv úniky je potřeba řešit bez paniky a důkladně je ověřovat. Reálných úniků e-mailů i s hesly byla v minulosti řada a není nijak těžké je zkusit použít znovu. Stačí trochu zamíchat, spojit, přidat něco nového a rázem je tu nová senzace pro média.
Prověřovat, prověřovat a prověřovat
Správně na to upozorňuje nakonec i Troy Hunt v Here's how I verify data breaches, který zmiňuje i další „zábavný“ titulek z médií: Exklusive: Big data breaches found at major email services – expert. Je více než jasné, že novinář, který jej napsal, neměl nejmenší ponětí o tom, jak se věci mají. A rozhodně se neobtěžoval si cokoliv ověřit.
Troy Hunt zmiňuje i to, co bylo v Ruský hacker prodává 272 milionů hesel do Gmailu, Hotmailu a dalších služeb: že není moc reálné, aby z Gmailu či Hotmailu někudy unikla hesla k účtům, ale co hlavně, je zcela nereálné, že by bylo možné je získávat v čitelné podobě. Google, Microsoft, Yahoo i další velcí hráči nejsou tak šílení, aby je ukládali v jednoduše dešifrovatelné podobě.
Hunt také velmi podrobně rozebírá mechanismy, jak ověřuje úniky. A rozhodně to není jenom to, že se zeptá provozovatele a doufá, že ten řekne pravdu. Byť právě zapojení provozovatele je jediná cesta, jak opravdu ověřit, jestli (a) e-maily vůbec existují a (b) uváděná hesla k nim patří.
Zahrnutí tohoto „úniku“ do ';--have i been pwned? se tedy nedočkáme. Troy Hunt vcelku oprávněně došel k tomu, že tento podvrh tam nepatří. A jedničkou mezi úniky tak stále zůstává 125 milionů účtu z Adobe.
ČLÁNKY DO MAILU