Yahoo je septembra lani oznanil, da je bil žrtev hekerskega napada, ki je ogrozil 500 milijonov računov njegovih uporabnikov. Nato je decembra razkril, da je doživel še en kibernetski napad, ki je prizadel kar milijardo uporabnikov. Pred dnevi pa je to številko dvignil kar na vse tri milijarde uporabniških računov. Po domače: kdor ima Yahoojev račun, je bil komprimitiran.
Hekerji so se dokopali do imen, elektronskih naslovov, telefonskih številk, datumov rojstev, zakodiranih gesel in nekodiranih varnostnih vprašanj.
Kaj lahko storimo sami?
Za začetek se prijavimo v svoj račun na yahooju, tudi če ga ne uporabljamo pogosto ali pa sploh ne. Yahoo ima milijardo mesečnih aktivnih uporabnikov vseh svojih storitev, a le 225 milijonov aktivnih uporabnikov elektronske pošte. Za primerjavo: Googlov poštni servis gmail ima 1,2 milijarde aktivnih mesečnih uporabnikov, s čimer si lasti 20-odstotni svetovni delež. Če k temu prištejemo še dve milijardi uporabnikov mobilnega operacijskega sistema android ter vse Googlove servise in programe s po več kot milijardo uporabnikov, kot so zemljevidi, youtube, chrome, search in play, ne smemo pa pozabiti na oblačno storitev google drive z 800 milijoni uporabnikov in google foto s pol milijarde uporabnikov, ki na dan naložijo 1,2 milijarde posnetkov, nam je kristalno jasno, da so Yahoojevi zlati časi, ko je bil največji spletni iskalnik na svetu, že davno minili.
Preverimo torej svoj račun, če ga še nismo. Yahoo je uporabnikom že pošiljal obvestila, če, pardon, da so bili napadeni. Za začetek zamenjajmo geslo. Pri Yahooju sicer zatrjujejo, da so bila gesla, do katerih so se dokopali hekerji, zakodirana s kriptirnim orodjem bcrypt, ki pa se jih z dovolj potrpežljivosti potencialno da dešifrirati. Hekerji imajo še lažje delo, če uporabljamo enostavna gesla. Kakor so že pred leti opozorili na slovenskem blogu Informacijska varnost (infosec.si), so pri nas najpogostejša gesla kar zaporedja številk in črk, kot so 123456, 12345678, abc123 in podobne različice, zelo pogosta pa so tudi osebna imena ter izrazi krneki, geslo in password.
Še dobro, da vse več spletnih servisov od nas zahteva najmanj osemmestno geslo, ki mora vsebovati vsaj eno veliko črko in eno številko. A tudi tukaj smo ljudje precej leni. Če je še nedavno veljalo, da so najvarnejša gesla nenavadne komplicirane kombinacije črk in znakov, se zdaj uveljavlja prepričanje, da so učinkovitejša gesla posebne (daljše) fraze, ki nekaj pomenijo le nam samim.
Dodatni varnostni ukrepi
Pri geslu zna nastati še dodaten problem. Ljudje pogosto isto (po možnosti enostavno) geslo uporabljamo tudi za druge račune in spletne profile. Če smo geslo za Yahoojev račun uporabili še kje drugje, ga moramo zamenjati še tam. Po možnosti ne z istim novim geslom. Pri tem zamenjamo še varnostna vprašanja, tista, s katerimi se lažje spomnimo gesla, če smo ga morda pozabili. To je sicer precej mukotrpno opravilo, a z njim si lahko prihranimo kakšno skrb ali težavo v prihodnosti. Dobro si je postaviti takšna varnostna vprašanja, ki bodo nekaj pomenila le nam, in ne ravno imena svoje mame.
Zelo učinkovito je tudi dvostopenjsko preverjanje pristnosti (two-step verification), ki ga ponujajo yahoo in številne druge spletne strani, kot so facebook, twitter, google itd. Dvostopenjsko preverjanje pomeni, da nam spletna stran, ko se prijavimo z geslom, na telefon pošje sms, ki ga vnesemo v naslednjem, drugem koraku. Na ta način si zagotovimo, da tudi heker, ki se je sicer dokopal do našega gesla, ne more dostopati do računa brez našega telefona.
Kaj pa brisanje računa?
Seveda je po tako obsežnem vdoru, ki se tiče tudi slovenskih uporabnikov Yahoojevih storitev, mamljivo vse skupaj izbrisati oziroma ukiniti račun. A kaj ko se hekerjem s tem odprejo nove možnosti. Če zapremo račun, lahko Yahoo naš stari elektronski naslov preda nekomu drugemu. In če je ta nekdo kiberkriminalec, bo lahko bombardiral vse mogoče spletne strani z zahtevo po pozabljenem geslu – in začasno geslo oziroma povezavo do spletne strani, kjer lahko ponastavimo geslo, bo prejel prav na svoj oziroma še nedavno naš elektronski naslov. Lahko pa stari e-naslov izkoristi tudi za ustvarjanje lažne identitete na naš (nekdanji) račun.
Kakor navaja sicer že nekaj let stara raziskava portala infosec.si, so najpogostejša gesla pri nas: 123456, 12345678, abc123, 12345, mateja, sonce, mojca, 1234, geslo, 123456789, matej, marko, alenka, ljubezen, 123, krneki, klemen, password, andrej in soncek. |
