Većina nas zna da nije pametno ponovno koristiti lozinke ili birati one poput primjerice imena vlasttog kućnog ljubimca. No, kako je iz prve ruke otkrio Matthew Sparkes, novinar s portala New Scientist, ni poznavanje pravila nije jamstvo kibernetičke sigurnosti.
Koje su šanse...?
Kako bi saznao koliko je prosječna osoba zapravo izložena, Sparkes se obratio Roryju Hattinghu, etičkom hakeru iz tvrtke Evalian. Hattingh je potvrdio ono što većina ne želi čuti, da postoji tek “iznimno mala” šansa da nijedan vaš osobni podatak nije negdje procurio. Sparkesova e-pošta kompromitirana je u čak 29 slučajeva, uključujući napad na Internet Archive iz 2024. godine i curenje 122 gigabajta podataka s Telegram kanala.
Među pogođenim servisima nalazili su se Dropbox, Adobe i LinkedIn. Ukradeni podaci uključivali su nazive radnih mjesta, adrese e-pošte, IP adrese, telefonske brojeve i čak naznake lozinki. Hattingh je koristio besplatan alat "Have I Been Pwned", koji na Dark webu prikuplja procurjele podatke, kako bi prikazao Sparkesovu povijest povreda osobnih podataka.
No što je bilo najzabrinjavajuće? Iste lozinke često se pojavljuju na više stranica. U velikoj ste nevolji, upozorava Hattingh, ako haker pronađe podudarnost i počne automatski koristiti vaše podatke na različitim platformama.
E-pošta kao glavni ključ
Ako napadači dobiju pristup vašoj e-pošti, mogu resetirati lozinke na drugim servisima, odnosno bankama, komunalnim uslugama, društvenim mrežama pa čak i lažno predstavljati vas kako bi prevarili vaše prijatelje. Pohranjeni podaci o plaćanju i kripto novčanici također mogu biti mete. Ta lavina sigurnosnih proboja može se dogoditi tiho, pogotovo ako žrtva na vrijeme ne shvati da je kompromitirana.
Nedavno smo i sami pisali o preporukama Googlea u zaštiti korisničkog računa njihove e-pošte.
Hattingh napominje da neke tvrtke napade ucjenjivačkim softverom tretiraju kao redovan trošak.
Imaju crni fond za kad nešto pođe po zlu. Plate i nastave dalje kao da se ništa nije dogodilo, kaže.
Nisu svi podaci jednako vrijedni, ali mogu završiti u bilo čijim rukama
Hattingh je naglasio i da se najvredniji podaci prodaju se elitnim kupcima. Kasnije, otpatci, ono što alati poput Have I Been Pwned skupljaju, preprodaju se ili dijele besplatno na forumima.
Napredniji alat, DeHashed, koji godišnje stoji 205 eura, Sparkesu je otkrio stvarne lozinke povezane s njegovim e-mailom, od kojih je jednu još koristio. Iako se ta istoimena tvrtka oglašava kao alat za provjerene organizacije, na Sparkesov upit o mogućoj zloupotrebi nisu odgovorili.
Zašto i dalje griješimo?
Anish Chauhan iz britanske tvrtke za kibernetičku sigurnost Equilibrium Security Services proveo je dublju pretragu i pronašao 24 lozinke povezane sa Sparkesom.
Oba stručnjaka se slažu u istom zaključku, da za svaki račun treba koristiti jedinstvenu lozinku.
Ljudi biraju put najmanjeg otpora, rekao je Chauhan. Čak i najsigurnije lozinke postaju beskorisne ako se ponavljaju.
Alati poput upravitelja lozinki to mogu automatizirati. Sparkes je, shvativši koliko su mu neki podaci zastarjeli, proveo večer popravljajući iste. Možda je vrijeme da i većina nas razmisli o ažuriranju zaporki, pogotovo onih na e-pošti.
