Linkedin i Last.fm – o tych dwóch witrynach ostatnio zrobiło się głośno, niekoniecznie w taki sposób, jaki wymarzyliby sobie ich właściciele. Nawet 13 milionów osób może bowiem czuć się zagrożonych po ostatnich wyciekach haseł z tych popularnych na całym świecie serwisów. A na fali „sprzątania” po problemie, ofiarami cyber-przestępców mogą paść kolejni.
Przede wszystkim, jeśli macie konta na którymś z tych dwóch serwisów i jeszcze jakimś cudem nie trafiliście na informację o włamaniu, czym prędzej zmieńcie hasło. Hasła wyciekły co prawda w formie tzw. hashy, jeśli jednak masz hasło z gatunku tych prostszych, nie łudź się, że nikt go nie złamie – włamywaczom zajmie to ułamek sekundy. Jeśli dodatkowo prostego hasła z ograbionego serwisu używasz w kilku miejscach, lepiej pozbyć się go na dobre. Przynajmniej tam, gdzie jego utrata wiąże się z ryzykiem utraty Twoich poufnych danych. To wszystko? Nie całkiem...
Sieciowi kryminaliści nie zarabialiby tak dużych pieniędzy, jakie padają ich łupem, gdyby – jakkolwiek kolokwialnie to nie zabrzmi – nie znali się na ludziach. Niezależnie bowiem od tego, z jak wysublimowanych zabezpieczeń korzystamy, to my jesteśmy ich najsłabszym punktem. A że w zalewie otaczających nas informacji ludzki mózg ma tendencję – i dobrze – do obierania „drogi na skróty”. Do czego dążę? Mam konto na jednym z zaatakowanych serwisów, usłyszałem o włamaniu i krótki czas później dostaję maila: „Witaj, to my z firmy X, przyznajemy się, ukradli nam hasła, więc na wszelki wypadek zmień swoje, my Ci ułatwiamy, nie musisz nigdzie wchodzić, po prostu kliknij tutaj”. Ja akurat nie kliknę, ale to zawodowe zboczenie ;) – zakładam jednak, że spora część ludzi kliknie. I jeśli wcześniej nie dała się okraść, właśnie złapała się na ordynarny phishing...
Warto więc pamiętać, że poważna, szanująca się firma nie powinna wysyłać w mailach żadnych linków do kliknięcia. Jeśli już informuje o czymś swoich użytkowników, podaje tekstową instrukcję, dotyczącą np. zmiany hasła. Nie mogę ręczyć za wszystkich, być może nie każdy korzysta z dobrych praktyk, jeśli jednak masz wątpliwości to zadzwoń, albo przynajmniej napisz do nadawcy (ale niekoniecznie odpisując na maila :), sugerowałbym raczej znaleźć adres na stronie WWW).
W sieci spotkałem się również z kilkoma serwisami, sugerującymi wpisanie mojego hasła po to, by sprawdzić, czy znajduje się on na liście wykradzionych i opublikowanych na „podziemnych” forach. Nawet jeśli autorzy mają dobrą wolę i faktycznie to sprawdzają, bałbym się podjąć to ryzyko :)