שיא חדש: חוקרי Cybernews חשפו את מה שנראה כאוסף הסיסמאות הגדול ביותר אי פעם, המכיל כמעט 10 מיליארד סיסמאות ייחודיות. הקובץ העצום, שזכה לשם "rockyou2024.txt", פורסם ב-4 ביולי בפורום האקרים ידוע על ידי משתמש בשם ObamaCare.
חוקרי Cybernews השוו את הסיסמאות שנמצאו ב-rockyou2024.txt (הקובץ) עם נתונים ממאגר הסיסמאות המודלפות שלהם, וגילו כי מדובר בסיסמאות אמיתיות, שנמצאות בשימוש אצל משתמשים ברחבי העולם, ומקורן בשילוב של פריצות ישנות וחדשות. "מדובר באוסף עצום של סיסמאות אמיתיות המשמשות אנשים בכל רחבי העולם. חשיפת כמות כזו של סיסמאות מעלה באופן משמעותי את הסיכון להתקפות מילוי אישורים", אמרו החוקרים.
לדברי החוקרים, תוקפים יכולים להשתמש באוסף הסיסמאות שנמצאות במאגר כדי "לבצע התקפות אגרסיביות ולקבל גישה לא מורשית לחשבונות שונים של אנשים המשתמשים בסיסמאות הכלולות במאגר". למעשה, rockyou2024.txt הוא לא ההדלפה הראשונה מסוג זה. לפני שלוש שנים, Cybernews חשפה קובץ אחר, שהיה אז לאוסף הסיסמאות הגדול ביותר, עם 8.4 מיליארד סיסמאות.
"קבצי סיסמאות כאלו מתפרסמים בפורום וקהילות כאלו ואחרות בכל יום, אכן אין להקל בנושא במיוחד שמדובר בכמות כזו", אומר תום מלכה, Head Of Cyber Research ב-Rakia Group. "יש להבין את חשיבות הסיסמה ואופן בחירת הסיסמא ושמירתה, אך חשוב גם לשים דברים במקומם ולזכור שזהו אינו אירוע יחסית יוצא דופן ואירועים כאלו מלווים אותנו כדוגמת MOAB (mother of all breaches) או COMB (completion of many breaches) שהכילו מספרים עצומים של סיסמאות שדלפו".
"אכן מדובר בדליפה גדולה ומשמעותית אך כבר ראינו בעבר דליפות מידע וסיסמאות בהיקפים כאלה", אומר רועי שלומן מנכ"ל XYZ Elements העוסקת בניתוח מידע גלוי. "במידה שבעלי החשבונות שברשימה לא החליפו סיסמה או שאינם מוגנים באימות דו שלבי מובן שהם חשופים לפריצה, אך יש לקחת בחשבון גם שימוש נוסף. לא פעם השימוש של התוקפים בסיסמאות הוא לאו דווקא לצורך פריצה מיידית אלא לשם בניית סיפור אמין שישמש לפישינג עתידי שיכלול בתוכו ידע ואמינות כך שבעלי החשבונות יספקו בעצמם מידע נוסף ורגיש עוד יותר מאשר פריצה לחשבון נקודתי. ההמלצה היא כמובן להוסיף אימות דו שלבי, להחליף באופן קבוע בין סיסמאות חזקות ואף פעם לא לשתף מידע אישי, גם לא לגורם שעושה רושם כאמין או כזה המכיר אותנו היטב".
נתי טל Head of Guardio Labs בחברת Guardio, המפתחת כלים ביניהם תוסף לדפדפן ואפליקציה שמגנים על משתמשים בזמן אמת, אומר כי "שימוש בסיסמאות חלשות היא למעשה החולשה הגדולה והמסוכנת ביותר שלנו בעולם הדיגיטלי. אם פעם חשבנו שלשים את התאריך של יום הנישואים יספיק, ובהמשך שידרגנו בשם שלנו עם מספר עולה לידו… היום גם סיסמאות שלכאורה נחשבות "קשות" וכוללות סימנים מיוחדים כמו !@# עלולות להיות קלות לפריצה. נתי טל Head of Guardio Labs
חברת Guardio מפתחת כלים ביניהם תוסף לדפדפן ואפליקציה שמגנים על משתמשים בזמן אמת מפני ניסיונותפישינג, הונאות וניסיונות של גניבת זהות.
"שימוש בסיסמאות חלשות היא למעשה החולשה הגדולה והמסוכנת ביותר שלנו בעולם הדיגיטלי. אם פעם חשבנו שלשים את התאריך של יום הנישואים יספיק, ובהמשך שידרגנו בשם שלנו עם מספר עולה לידו… היום גם סיסמאות שלכאורה נחשבות "קשות" וכוללות סימנים מיוחדים כמו !@# עלולות להיות קלות לפריצה. עם מעבדים חזקים יותר, ורוחב פס גדול יותר, קל יותר לתוקפים פשוט לנסות את כל הסיסמאות האפשריות עד שהם מגיעים לסיסמה המתאימה. בתקיפה שנקראת Brute Force, יכול התוקף להטעין רשימת סיסמאות כגון זאת האחרונה שדלפה, ולמעשה בעניין של דקות (עם כוח מחשוב יחסית לא יקר מדי כיום) לנסות כל רצף סיסמאות כזה עד להצלחה".
איך להגן על עצמכם?
אין פתרון קסם להגנה על משתמשים שסיסמאותיהם נחשפו, אך אנשים וארגונים שנפגעו צריכים לנקוט בצעדי מנע:
- אפסו את הסיסמאות: אפסו מיד את הסיסמאות לכל החשבונות הקשורים לסיסמאות שהודלפו. מומלץ לבחור סיסמאות חזקות וייחודיות שאינן בשימוש חוזר בפלטפורמות שונות.
- הפעילו אימות דו-שלבי: הפעלת אימות דו-שלבי בכל מקום אפשרי מחזקת את האבטחה על ידי דרישת אימות נוסף מעבר לסיסמה.
- השתמשו במנהל סיסמאות: תוכנת ניהול סיסמאות מאפשרת ליצור ולאחסן בבטחה סיסמאות מורכבות, ומפחיתה את הסיכון לשימוש חוזר בסיסמאות בחשבונות שונים.
- כדי לבדוק אם הסיסמה שלכם דלפה, תוכלו להיכנס לאתר של חברת Cybernews (לחצו כאן) ולבדוק אם היא נמצאת במאגר שדלף. שימו לב: מדובר באתר מאובטח שהופץ על ידי החוקרים של Cybernews.
"מכת מוות לרוב העסקים"
אלי כהן, מנכ"ל חברת y-tech, אחת השחקניות המובילות בישראל בפתרונות טכנולוגיים מנוהלים ומאובטחים לעסקים, ראה כבר הכל בתחום הזה, בו סכנות חדשות נולדות מדי שעה. כאלה שאף יכולות לשתק עסקים במכה. לדבריו: "הסכנה הגדולה בדליפת מידע כזה שהיא יכולה להוות מכת מוות לרוב העסקים. עובד אחד שהסיסמא שלו דלפה החוצה, יכול להעמיד את כל העסק, בסכנה לאיבוד כל הנתונים שלו ושל לקוחותיו".
"בתור משנה זהירות, ברמה הכי בסיסית מומלץ להחליף סיסמא אחת למספר חודשים, עדיף משפט ארוך שיהיה לכם קל לזכור בעצמכם. מה שצריך לעשות היום אחרי הדליפה האחרונה, מתחלק למספר שלבים: ראשית לעדכן את כל הסיסמאות ולהתחיל מאלו של החשבונות הרגישים ביותר; להפעיל אימות דו-שלבי, המאפשר יכולת הגנה קריטית למניעת גישה לא מורשית לעסק; ליישם את מדיניות הסיסמאות של הארגון, ובמידה ואין - לבנות אחת ומהר, ולדאוג שכל העובדים נחשפים אליה ופועלים לפיה; קיום הדרכות תכופות בנושאי אבטחת מידע וכיצד להימנע מדליפות; והכי חשוב - ניטור, ניטור וניטור. ככל שתשקיעו במערכת ניטור מתקדמת יותר לעסק שלכם, תוכלו לזהות ביתר קלות כל פעילות חשודה".