Jak donosi serwis Bleeping Computer, archiwum internetowe Wayback Machine doświadczyło poważnego wycieku danych. Cyberprzestępcom udało się uzyskać bazę danych uwierzytelniających użytkowników, zawierającą 31 milionów unikalnych rekordów. Najnowsze dane w bazie pochodzą z 28 września 2024 roku.
Wayback Machine to popularne narzędzie, które pozwala zobaczyć, jak wyglądały strony internetowe w przeszłości. Dzięki niemu można śledzić, jak zmieniał się internet na przestrzeni lat. Wiele osób korzysta z tego w pracy, ale też po prostu dla zabawy.
Troy Hunt, twórca usługi Have I Been Pwned, umożliwiającej sprawdzenie, czy nasze dane logowania wyciekły, potwierdził, że skradziona baza danych zawiera adresy e-mail, nazwy użytkowników, znaczniki czasowe zmiany haseł, hasła zaszyfrowane jednostronnie za pomocą Bcrypt oraz inne dane wewnętrzne.
Komentuje Kamil Sadkowski, analityk laboratorium antywirusowego ESET:
– Tym razem cyberprzestępcy pokazali nam, że choć wydawało się to niemożliwe, potrafią „hakować przeszłość”. Mówiąc poważnie: skradziony zbiór zawiera wrażliwe dane osobowe, choć na szczęście hasła są jednostronnie zaszyfrowane. Pamiętajmy jednak, że jednostronnie zaszyfrowane hasła mogą zostać złamane, np. jeśli są łatwe lub jeśli podobne hasła wyciekły już wcześniej.
Ta sytuacja powinna stanowić dla nas doskonałe przypomnienie, by upewnić się, że każde z naszych haseł jest unikalne i odpowiednio silne. Używanie różnych haseł w każdym miejscu, do którego się logujemy, często wydaje się przesadną ostrożnością i dla wielu osób bywa wymagającym zadaniem. Należy jednak traktować tę zasadę poważnie. Wycieki danych zdarzają się coraz częściej i istnieje bardzo duża szansa, że staliśmy się lub staniemy ich ofiarą. Unikalne hasło ogranicza ryzyko do uzyskania przez cyberprzestępców dostępu do jednego tylko używanego przez nas konta, konkretnej usługi lub narzędzia. Dla dodatkowej ochrony warto również włączyć uwierzytelnianie dwuskładnikowe.
Warto dodać, że powinniśmy regularnie sprawdzać, czy nasze dane znalazły się w rękach cyberprzestępców. Obywatele Polski mają możliwość sprawdzenia bezpieczeństwa swoich danych na portalu rządowym bezpiecznedane.gov.pl/. Warto również zaglądać na portal https://haveibeenpwned.com/. Have I Been Pwned to darmowa usługa, która pomaga użytkownikom sprawdzić, czy ich dane wyciekły w wyniku naruszenia bezpieczeństwa. Każdy z tych dwóch portali korzysta z własnych baz wycieków, więc korzystając z obydwu, mamy znacznie szerszy obraz sytuacji.
Jeśli okaże się, że nasze dane logowania znalazły się w którymś z wycieków, należy natychmiast zmienić hasła objęte wyciekiem.