Топ-10 утечек паролей в 2021 году

Компания Dashlane, автор менеджера паролей и приложения для цифрового кошелька, опубликовала свой шестой ежегодный список худших инцидентов с паролями за год, выделив компании и организации, столкнувшиеся с наиболее серьезными проблемами в 2021 году.

«Взлом паролей представляет собой серьезную проблему - даже небольшая уязвимость может нанести колоссальный ущерб как отдельным лицам, так и организациям. Компании должны помнить о важности создания культуры безопасности для защиты ценных данных компании, а отдельные лица должны быть в курсе последних фишинговых атак, чтобы не потерять контроль над своей личной информацией», - рассказал CyberNews генеральный директор Dashlane Дж. Д. Шерман.

По заявлению компании, список служит напоминанием о том, насколько легко столкнуться с оплошностью в сфере кибербезопасности, даже если мы думаем, что полностью защищены. Отчет Verizon по расследованию нарушений за 2021 год показывает, что средняя стоимость взлома данных составляет 4,24 миллиона долларов, и что 80% нарушений были вызваны ненадежными, повторно используемыми или украденными паролями сотрудников.

Вот самые катастрофические неудачи с паролями в 2021 году по версии Dashlane:

1. SolarWinds: Руководство SolarWinds считает, что основной причиной атаки на цепочку поставок был стажер, который в течение нескольких лет использовал ненадежный пароль. Первоначальное расследование показало, что пароль solarwinds123 был общедоступен через неправильно настроенный репозиторий GitHub с 17 июня 2018 года.

2. COMB: Этот инцидент считают самой большой утечкой всех времен и причиной всех брешей: COMB, или Сборник множества брешей (Compilation of Many Breaches), содержит более 3,2 миллиарда уникальных пар писем и паролей в открытом виде. Хотя в прошлом в Интернете было много взломов и утечек данных, эта база является исключительной по своему размеру. То есть, все население планеты составляет примерно 7,8 миллиарда человек, а это примерно 40% от этого числа.

3. Verkada: После того, как международный коллектив хакеров взломал системы компании с помощью имени пользователя и пароля, найденных в Интернете, они получили доступ к камерам клиентов Verkada, которые варьировались от заводов Technoking и складов Tesla до тренажерных залов Equinox, больниц, тюрем и школ.

4. RockYou2021: На популярном хакерском форуме просочилась информация, которая кажется самой большой коллекцией паролей за все время. Пользователь форума разместил огромный TXT-файл объемом 100 ГБ, который содержит 8,4 миллиарда записей паролей, собранных в результате предыдущих утечек и взломов данных.

По словам автора сообщения, все пароли, включенные в утечку, имеют длину от 6 до 20 символов, с удаленными символами, отличными от ASCII, и пробелами. Сама компиляция была названа пользователем форума RockYou2021, предположительно в связи с печально известной утечкой данных RockYou, произошедшей в 2009 году, и именем файла rockyou2021.txt, содержащим все пароли, когда злоумышленники проникли на серверы веб-сайта социального приложения и заполучили более 32 миллионов паролей пользователей, хранящихся в виде простого текста.

5. Facebook: То, как Facebook обрабатывает пользовательские данные, продолжает оставаться яркой темой для разговоров на каждом званом обеде. В апреле 533 миллиона пользователей Facebook подверглись утечке данных. Задолго до этого инцидента эксперты поднимали красные флажки, заявляя, что об этой проблеме с конфиденциальностью серьезно ранее не сообщалось. Эксперты по безопасности предупреждают, что утечка данных может быть использована не только в маркетинговых целях, но и для выдачи себя за других людей и совершения мошенничества.

6. Ticketmaster: Сотрудники использовали незаконно полученные пароли для взлома компьютерных систем конкурирующей компании. В течение года, когда множество людей попали под карантинные ограничения, компания по продаже и распространению билетов потеряла из-за взлома 10 миллионов долларов.

7. GoDaddy/WordPress: Веб-регистратор и хостинговая компания GoDaddy подали в Комиссию по ценным бумагам и биржам (SEC) заявление, в котором говорилось о том, что к адресам электронной почты 1,2 миллиона клиентов компании Managed WordPress был получен доступ неавторизованной третьей стороной.

8. ActMobile Networks: ActMobile Networks, которая управляет несколькими брендами VPN, продолжает отрицать компрометацию 45 миллионов пользовательских записей, которые включали адреса электронной почты, зашифрованные пароли, полное имя и имя пользователя; 281 миллион записей об устройствах пользователя, включая IP-адрес, код округа, устройство и идентификатор пользователя; и 6 миллионов записей о покупках, включая купленный продукт и чеки.

9. DailyQuiz.me: 8,3 миллиона учетных данных были украдены у пользователей веб-сайта DailyQuiz.me. Злоумышленники захватили базу данных сайта, которая затем была выставлена ​​на продажу на подпольных форумах и Telegram-каналах. Содержимое базы данных включает пароли в открытом виде, электронные письма и IP-адреса.

10. Юридический департамент Нью-Йорка: Юридический департамент Нью-Йорка хранит некоторые из наиболее закрытых тайн города: доказательства неправомерных действий полиции, личности маленьких детей, обвиняемых в серьезных преступлениях, медицинские записи истцов и личные данные тысяч городских служащих. Но все, что потребовалось хакеру, чтобы проникнуть в сеть агентства, состоящего из тысячи юристов, в июне, - это украденный у одного из сотрудников пароль электронной почты.

Шерман считает, что люди и компании знают об угрозах, но они просто думают, что с ними слишком сложно или слишком хлопотно бороться. Поэтому они «просто рискуют».

«Сильная культура кибербезопасности должна исходить сверху вниз, но ее невозможно достичь без подлинного партнерства со стороны всей организации. Самый эффективный способ обеспечить хорошую кибергигиену - помочь людям понять роль, которую они играют в безопасности вашей компании, отказаться от ругательств и наказания за ненадлежащие методы обеспечения безопасности и убедиться, что у людей есть инструменты, необходимые для достижения конечного результата: бизнес, который может сосредоточиться на своих стратегических целях, а не на угрозах безопасности, которые скрываются за углом», - сказал Шерман CyberNews.

Как сделать пароль неугадываемым

Если вы хотите, чтобы кто-то другой не смог угадать пароль, просто скрыть его ото всех будет недостаточно.

Во-первых, обязательно используйте бесплатную программу проверки на утечку паролей, чтобы узнать, является ли ваш пароль уникальным и он не был взломан злоумышленниками.

Во-вторых, используйте только надежные и сложные пароли для всех своих учетных записей в Интернете. Вы можете создать его самостоятельно или, если вы торопитесь, сгенерировать его с помощью бесплатного генератора паролей.

С учетом сказанного, хотя создание сложных паролей может быть легким делом, запоминание их обычно намного сложнее. Поэтому лучшие пароли - это те, которые вам совсем не нужно запоминать.

По этой причине мы обычно настоятельно рекомендуем использовать менеджеры паролей. Это специальные инструменты, которые хранят все ваши пароли в одном безопасном зашифрованном хранилище. Всякий раз, когда вам нужно ввести свои учетные данные для учетной записи, это можно сделать всего лишь одним щелчком мыши.