יותר מ-15 מיליארד מיילים פרוצים נמצאים במאגר הזה – האם אתם שם?
בשבוע שעבר עודכן מאגר "Have I been Pwned?" עם 183 מיליון מיילים פרוצים חדשים
תמונה: Dreamstime
קמתם בבוקר ולא גיליתם את המייל שלכם במאגר "Have I been Pwned?", תאמינו לנו – כל השאר זה בונוס. המאגר, שמרכז פרטי גישה של חשבונות מייל פרוצים, מכיל נכון להיום יותר מ-15.3 מיליארד חשבונות שנפגעו מדליפות מידע שאומתו לאורך השנים. בשבוע האחרון המאגר עודכן פעם נוספת עם רשימה חדשה של 183 מיליון חשבונות וסיסמאות מקושרות שדלפו.
מאחורי הפרויקט עומד טרוי האנט, חוקר אבטחה אוסטרלי שפועל רבות בתחום ההסברה ומנגיש את נושא אבטחת המידע לציבור הרחב. את המאגר הוא הקים לפני כ-12 שנה, ומאז הוא מעדכן אותו באופן שוטף ואף הפך אותו לאחד הכלים השימושיים שמאפשר למשתמשים פרטיים וארגונים לבדוק אם המידע שלהם הסתובב אי פעם במקומות הלא נכונים. לפי הפוסט הרשמי של HIBP, הנתונים כוללים כתובות דוא"ל יחד עם הסיסמאות המתאימות להן, וגם את רשימת האתרים שבהם הוזנו.
הנתונים נוקו וסוננו לפני הכנסתם למאגר, כך שנשמרו רק גישות ייחודיות (ללא כפילויות). הגישה לנתונים נאספה על ידי Infostealers – נוזקות שמותקנות על מערכות שונות ותכליתן לאסוף מידע רגיש, לרבות סיסמאות. המידע הזה מגיע ישירות לידי תוקפים, שעושים בו שימוש לקמפיינים של פישינג והונאות, או שמוכרים אותו ברשת.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
גם מייל אישי הוא דלת לארגון
בעידן של עבודה היברידית, מכשירים אישיים וחשבון Gmail פרטי יכול לא פעם להיות גשר ישיר אל מערכות הארגון, במיוחד אם עובדים עושים שימוש חוזר באותן סיסמאות או משתמשים באותם מיילים לצרכים עסקיים. דליפת סיסמה, אפילו אם היא של חשבון אישי של עובד מסוים, עלולה להעניק לתוקפים גישה לשירותי הענן הארגוניים, לחשבונות SaaS משותפים או למערכות ניהול רגישות, במיוחד אם אין אימות דו שלבי או מדיניות הרשאות מוקפדת.
כדי לבדוק אם כתובת המייל שלכם, או של העובדים, נחשפה באחת מהדליפות – אפשר להיכנס לאתר HIBP ולהזין את המייל. תוך שניות, תדעו אם היא הופיעה באחד ממאגרי הפריצה שפורסמו לאורך השנים. האתר מציג באילו דליפות הופיע החשבון, מה המידע שנחשף ואם מדובר בסיסמה, כדאי להחליף אותה מיד, גם בשירותים נוספים שמקושרים או משתמשים בסיסמה זהה.
לצוותי IT נמליץ לבדוק באופן יזום את חשבונות הדוא"ל הארגוניים באמצעות כלים ייעודיים, לבחון אם יש מדיניות סיסמאות חזקה מספיק, ולוודא שחשבונות קריטיים לא נחשפים שוב ושוב בגלל שימוש חוזר בסיסמאות. כי אתם פשוט לא רוצים להיות הארגון הבא שיופיע במכרה הזהב הזה.
