Objavljenih osem milijonov elektronskih naslov in gesel s strani Gamigo
Matej Huš
24. jul 2012 ob 00:03:25
Pet mesecev po februarskem napadu na nemško stran Gamigo so na splet priromali uplenjeni podatki. Neznan napadalec z vzdevkom 8in4ry_Munch3r je konec februarja uspešno kompromitiral strežnike tega nemškega založnika masivno-večigralsko spletnih iger domišljijskih vlog (MMORPG), zaradi česar so v začetku marca svojim strankam poslali obvestilo, naj zamenjajo svoja gesla na njihovi strani in drugod, če so slučajno uporabljali ista. Zgodba je počasi potihnila, saj se nekaj mesecev ni zgodilo nič niti ni kazalo, da bi bili zbrani podatki zlorabljeni.
V začetku julija pa so hekerji pokazali sadove svojega dela, piše Forbes. Na forumu InsidePro so objavili pol gigabajta težko zbirko več kot osem milijonov unikatnih elektronskih naslovov in gesel (vseh skupaj je 11 milijonov), a nanje sprva mediji niso bili pozorni. Podatki so bili dostopni dober teden in so z interneta izginili šele konec preteklega tedna, ko so bili nanje opozorjeni pri PwnedList. Čeprav je Gamigo gesla hrani v zgoščeni obliki (hash), so napadalci uspeli obnoviti 94 odstotkov gesel. S tem je napad na Gamigo največji letošnji, saj je prehitel celo megalomanski vdor v LinkedIn.
Pri PwnedList Gre za legitimno stran, kjer lahko uporabniki vpišejo svoj elektronski naslov in preverijo, ali je ta zaveden v javno dostopnih bazah ukradenih elektronskih naslovov s pripadajočimi gesli. PwnedList je uspel še pravočasno pridobiti tudi podatke iz napada na Gamigo, preden so bili umaknjeni s spleta. Ustanovitelj strani Steve Thomas je potrdil, da so dobljeni podatki resnično prava zakladnica za nepridiprave. Večina uporabnikov je gesla za Gamigo že spremenila, a če ista gesla uporabljajo tudi drugo in jih niso spremenili, so še vedno v nevarnosti. Analiza je pokazala, da so glavni elektronski naslovi v tokratnem paketu po pričakovanjih Gmail, Yahoo, Hotmail in tudi precej službenih iz IBM-a, Allianza, Siemensa, Deutsche Bank in ExxonMobila.
Tovrstne zbirke gesel so odličen pripomoček za napadalce, saj je napad s slovarjem oziroma seznamom verjetnih gesel precej hitrejši od poizkušanja vseh možnih kombinacij s surovo močjo. Eno največjih zbirk so dobili leta 2009, ko je bilo objavljenih 14 milijonov gesel iz RockYou. Zaradi tega je nadvse pomembno, da gesel ne recikliramo in da uporabljamo nova, neuganljiva in čim močnejša.