Kyberbezpečnostní svět má další pořádně horké téma. Na internetu se totiž objevil únik dat, který odborníci označují za jeden z největších v historii. Do veřejně dostupných databází se dostalo přes 183 milionů e-mailových adres a hesel, přičemž desítky milionů z nich jsou napojeny přímo na Gmail. Pro miliony lidí se tak nabízí otázka, zda nepatří mezi nešťastníky, jejichž účty unikly.
Podle australského bezpečnostního experta Troyho Hunta, který provozuje známý portál Have I Been Pwned, pochází nově objevený balík dat z takzvaných infostealer platforem. Jde o malware, který po napadení zařízení tiše sbírá přihlašovací údaje, uložená hesla, e-maily či webové adresy a ty následně končí v rukou hackerů. Tentokrát má jít o databázi o velikosti 3,5 terabajtu obsahující i 16,4 milionu dosud nikdy neuniklých účtů.
Hunt ve svém blogu vysvětluje, že tato data pochází z dlouhodobé analýzy škodlivých sítí, které po celém světě infikovaly běžné uživatele. Kromě Gmailu se mezi ukradenými přihlašovacími údaji objevují i účty z Outlooku, Yahoo či stovek dalších služeb. Velká část záznamů sice pochází z dřívějších úniků, ale objevilo se i mnoho zcela nových, stále aktivních kombinací e-mailů a hesel, které jsou podle expertů pro zločince doslova zlatým dolem.
Google sám se ke kauze vyjádřil s tím, že nedošlo k žádnému přímému prolomení zabezpečení Gmailu. Údaje byly podle společnosti získány z napadených zařízení uživatelů, nikoliv z interních serverů Googlu. „Nejde o útok na Gmail jako takový, ale o důsledek aktivity škodlivého softwaru, který z uživatelských počítačů vysává uložené přihlašovací údaje,“ uvedl mluvčí společnosti. Google zároveň vyzývá všechny uživatele, aby okamžitě změnili svá hesla, zapnuli dvoufázové ověření a zvážili používání passkey místo klasických hesel.
Bezpečnostní analytici nicméně varují, že problém sahá mnohem dál než jen k e-mailu. Mnoho lidí totiž stále používá jedno a to samé heslo napříč více službami od cloudového úložiště přes sociální sítě až po internetové bankovnictví. Útočníci tak mohou pomocí techniky zvané credential stuffing testovat ukradené údaje na dalších platformách a postupně pronikat do celého digitálního života oběti.
Nejste mezi oběťmi?
Pokud si chcete ověřit, zda vaše data neunikla, můžete tak učinit jednoduše na stránce haveibeenpwned.com. Po zadání e-mailové adresy se dozvíte, jestli se objevila v některém z úniků, včetně tohoto posledního. V případě, že ano, mějte na paměti, že nestačí si změnit heslo na Gmailu, ale i všude tam, kde jste používali stejné nebo podobné přihlašovací údaje. Odborníci zároveň doporučují používat správce hesel, jako je 1Password, Bitwarden či iCloud Klíčenka, které dokáží generovat silná, unikátní hesla a bezpečně je ukládat mimo dosah prohlížečů. Ty jsou totiž pro malware stále častějším cílem.