WIelki wyciek danych z serwisu 500px. Loginy i hasła z 15 mln kont w rękach hakerów
Jeżeli korzystałeś z serwisu fotograficznego 500px.com, mamy złą wiadomość. Twój login i hasło są w rękach hakerów. I to już od pół roku.
500px to bodajże najciekawszy serwis fotograficzny, który jako jeden z nielicznych broni się w obliczu całkowitej dominacji tego segmentu przez Instagram. 500px ma szansę zostać globalnym numerem jeden wśród pasjonatów i bardziej świadomych fotografów, zwłaszcza po problemach Flickra i ostatnich cięciach przestrzeni na zdjęcia.
500px padło ofiarą potężnego włamania. Wygląda na to, że hakerzy mają wszystko.
Użytkownicy 500px otrzymali maila z prośbą o zresetowanie hasła do swojego konta, ale dziś i tak jest już za późno. Serwis padł ofiarą ataku hakerskiego 5 lipca 2018 roku, choć zespół programistów 500px wykrył to włamanie dopiero 8 lutego 2019 r.
Wyciek objął wszystkich użytkowników serwisu, czyli 14,8 mln osób. Oto dane, które wyciekły:
- imię i nazwisko użytkownika,
- nazwa użytkownika,
- adres e-mail,
- hash hasła,
- data urodzenia,
- miasto i kraj zamieszkania,
- płeć.
500px zapewnia, że podjęto działania, w tym wymuszenie zmiany hasła u wszystkich użytkowników, ale mleko się rozlało. A właściwie, zdążyło już wyparować. Hakerzy mają informacje o danych użytkowników od pół roku.
Najbardziej newralgiczne elementy wycieku to e-mail i hash hasła. Niestety złamanie hasła na bazie hasha to kwestia czasu.
Co zrobić i jak zabezpieczyć się przed takimi sytuacjami w przyszłości?
Jeżeli korzystałeś z e-maila i hasła podanego w 500px w innych serwisach, są one wystawione na atak. Korzystanie z tych samych haseł w wielu serwisach jest wygodne, ale bardzo niebezpieczne. Nie mamy żadnego wpływu na wycieki danych, a wystarczy jeden incydent, by narazić wszystkie konta.
Może być to bardzo bolesne zwłaszcza w przypadku kont bankowych, Gmaila czy innych usług, gdzie mamy podpiętą kartę płatniczą.
Jedyną możliwością zabezpieczenia się przed takimi sytuacjami jest korzystanie z innych haseł w każdym serwisie. Nie sposób ich zapamiętać, także niezmiennie polecam stosowanie menedżera haseł.
Dla własnego dobra zacznij korzystać z menedżera haseł.
Polecam przyjrzenie się usługom 1Password i LastPass. Ta pierwsza ma lepsze aplikacje, ale druga w podstawowej wersji jest darmowa, obsługując jednocześnie wszystkie duże platformy mobilne i desktopowe.
W obu przypadkach program jest bankiem haseł i loginów do różnych usług sieciowych. Aplikacje mogą generować hasła dla różnych serwisów, dzięki czemu w każdym miejscu możemy mieć niepowtarzalne hasło. Oba rozwiązania pozwalają w wygodny sposób logować się do usług (w tym do aplikacji mobilnych) po potwierdzeniu swojej tożsamości, bez konieczności znania prawdziwego hasła do serwisu.
Wszystkie te dane są zamknięte za jednym hasłem nadrzędnym, od którego zależy bezpieczeństwo całego systemu. Potencjalnie jest możliwy wyciek takiego hasła, dlatego w LastPass i 1Password lepiej nie przechowywać danych o najbardziej wrażliwych witrynach, takich jak banki czy konta w głównych serwisach.
Menedżer haseł jest jednak dalece bardziej bezpieczny od stosowania tego samego hasła w każdym serwisie. Po pierwsze, nad bezpieczeństwem systemu pracują specjaliści z zakresu bezpieczeństwa, a po drugie, wyciek hasła z jednego serwisu (jak np. z 500px) nie naraża innych naszych kont.
Oczywiście warto też włączyć dwustopniową weryfikację wszędzie tam, gdzie tylko jest to możliwe. W serwisie 500px nie było takiej możliwości.