"כמות מטורפת של מידע": 16 מיליארד סיסמאות נגנבו ונחשפו ברשת
חוקרים חשפו כ-30 מאגרי סיסמאות ופרטים אישיים, שככל הנראה נגנבו ישירות מהמחשבים של משתמשים ברחבי העולם: "מדובר בכמות מטורפת של מידע"
תמונה: נוצרה באמצעות ChatGPT
אם יש משהו שכולנו התרגלנו אליו בעשור האחרון זו ההבנה המתסכלת שהפרטים שלנו, וכנראה גם הסיסמאות שלנו כבר מסתובבים איכשהו באינטרנט. אבל גם בתוך ים הדלפות, יש רגעים שמצליחים להפתיע אפילו אותנו. השבוע קרה מקרה שכזה: חוקרי אבטחה של האתר Cybernews חשפו לא פחות מ-16 מיליארד רשומות כניסה שיכולות לשמש תוקפים להשתלטות על חשבונות בפייסבוק, גוגל, אפל ועוד.
החוקרים טוענים כי הצליחו לאתר 30 מאגרי מידע נפרדים שכוללים פרטי גישה: כתובות URL, שמות משתמשים וסיסמאות שנאספו בעיקר על ידי תוכנות זדוניות מסוג infostealers. כלומר, מדובר בנתונים שנגנבו ישירות מהמחשבים של המשתמשים עצמם, לרוב בלי שיבחינו בכלל.
המאגרים עצמם נחשפו ברשת רק לפרק זמן קצר יחסית, לאחר שאוחסנו בצורה מרושלת בשרתים מרוחקים, כך לפחות טען חוקר אבטחת מידע אוקראיני, שהיה בין הראשונים שהצליחו להוריד את הקבצים. לדבריו, הוא מתכוון לנסות ולהודיע אישית לגורמים שפרטיהם נחשפו. "זה ייקח זמן", הוא מודה, "כי מדובר בכמות מטורפת של מידע".
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
אל תהיו שאננים
ב-Cybernews מבהירים שלא מדובר בפריצה ישירה לשירותים של Meta, Google או Apple אלא באיסוף פסיבי של נתוני התחברות, דרך הדפדפן של המשתמש. תוכנות infostealer עוקבות אחרי הקוקיז, ההקלדות, המטא-דאטה ומשם הדרך לחשיפת החשבונות קצרה מאוד. גם גוגל הגיבה לפרסום, והבהירה כי לא הייתה פריצה לשירותיה אך המליצה, שלא במפתיע, להשתמש בכלי ניהול הסיסמאות שלה כדי להגן על החשבון.
לפי החוקרים, כ-85% מהמידע נגנב בעזרת תוכנות infostealer שעדיין מסתובבות בשטח ורק 15% מגיע מהדלפות ישנות יותר. זאת אומרת, אנחנו לא מדברים פה על עוד רשימות ישנות ממאגרי מידע נידחים, אלא על גישה עדכנית וישירה לסיסמאות פעילות. מומחים בתחום מזהירים שמדובר ב"תוכנית מתאר לניצול המוני": מידע שיכול לשמש להשתלטות על חשבונות, גניבת זהות, או מתקפות פישינג ממוקדות להפליא. הנחמה היחידה? המאגרים היו זמינים רק לפרק זמן קצר, כנראה לפני שמי שהעלה אותם הבין מה נחשף והסיר את הגישה.
אז מה עושים עכשיו?
כרגיל, ההמלצה הבסיסית היא לא לחכות. לעדכן סיסמאות, להפעיל אימות דו-שלבי (MFA), להשתמש במנהל סיסמאות ולהפסיק למחזר את אותה סיסמה ישנה מימי הצבא. ואם אתם כבר עם MFA, אולי הגיע הזמן לבדוק מעבר ל-passkeys, גישה חדשה ללא סיסמאות שמקודמת כיום על ידי ענקיות הטכנולוגיה ומיועדת להחליף את כל השימוש בסיסמאות.
