Dzień Bezpiecznego Internetu. Zadbaj o swoje dane i sprawdź, czy nie wyciekły

Często informujemy was o włamaniach na serwery i wyciekach danych, ale jak sprawdzić, czy to właśnie wasze dane wpadły w niepowołane ręce? Istnieje narzędzie, które pozwala to łatwo sprawdzić – Have I Been Pwnd to godna zaufania strona, agregująca dane z wycieków, którą możemy łatwo przeszukiwać.

Have I Been Pwnd to bardzo praktyczne narzędzie, gromadzące dane o naruszeniach bezpieczeństwa danych użytkowników oraz pliki zawierające wydobyte hasła i loginy, z możliwością ich wygodnego przeszukiwania. Wyszukiwarka ma zasadniczo dwa główne tryby działania. Od razu po wejściu na stronę możemy wyszukać w bazie wycieków swój adres e-mail. Jeśli dane kont, powiązane z tym adresem, są dostępne w sieci na skutek włamania lub błędu, wyszukiwarka nas o tym poinformuje. W przypadku jednego z moich adresów e-mail były to 3 konta. Opis każdego z nich zawiera też informacje o dacie wycieku i link do szczegółowego opisu tego incydentu. Od razu można też dowiedzieć się, do jakich danych uzyskały dostęp osoby trzecie.

Wybierając hasło dla swoich kont, można też sprawdzić, czy ta kombinacja znaków nie została już ujawniona. Służy do tego wyszukiwarka haseł. Po wpisaniu w niej odpowiedniej kombinacji możemy zobaczyć, czy hasło znalazło się w ogólnodostępnych plikach. Jeśli tak, lepiej go nie używać.

W chwili pisania artykułu Have I Been Pwnd miał dane o 340 stronach i prawie 6,5 miliarda kont, których dane są publicznie dostępne. Strona jest aktualizowana na bieżąco i gdy tylko zostaną ujawnione informacje o wycieku danych, pojawiają się w jej bazie. By być na bieżąco, można podać swój adres e-mail i otrzymywać na niego informacje o naruszeniach. Można także poprosić o informacje na temat wybranych witryn.

Na pewno słyszeliście o stronach, które obiecują sprawdzić bezpieczeństwo karty płatniczej, jeśli tylko podacie jej numer i kod zabezpieczający. Od takich stron lepiej trzymać się z daleka. Have I Been Pwnd do takich nie należy. Usługa działa już kilka lat, i zdobyła uznanie wśród specjalistów. Dzięki dostępnemu API, jest też integrowana w różnych programach zabezpieczających.

Stworzył ją Troy Hunt – MVP (Most Valuable Professional, honorowy tytuł nadawany przez Microsoft ważnym członkom społeczności), dyrektor regionalny w Microsofcie, mówca i autor kursów dotyczących bezpieczeństwa IT na platformie edukacyjnej Pluralsight.

Fakt, że dane wyciekły, nie oznacza jeszcze, że cyberprzestępcy zaszkodzili nam bezpośrednio. Niemniej jednak po naruszeniu bezpieczeństwa warto podjąć kilka podstawowych kroków, by zminimalizować straty. Przede wszystkim, najszybciej jak to możliwe, trzeba zmienić hasło w usłudze, która padła ofiarą ataku. Jeśli to samo hasło jest używane w różnych miejscach, czego nie zalecamy, warto zmienić je wszędzie. Najlepiej od razu wygenerować sobie inne hasło dla każdego z tych miejsc. Warto stosować się do zasady ile kont, tyle haseł. Hasła powinny być oczywiście silne, czyli długie i skomplikowane. Im więcej różnych znaków (małych i dużych liter, liczb, znaków interpunkcyjnych), tym lepiej. Należy unikać używania w hasłach danych osobowych, imion zwierząt, dat urodzenia i tym podobnych, łatwych do odgadnięcia ciągów znaków.

Oczywiście zapamiętywanie dziesiątek, a może nawet setek haseł do różnych miejsc nie leży w zakresie możliwości zwykłego śmiertelnika. Zapisanie wszystkich w pliku tekstowym na pulpicie jest kuszące, ale to najgorszy możliwy sposób przechowywania haseł. Warto rozważyć korzystanie ze znanego tylko nam systemu tworzenia haseł albo zdać się na godny zaufania menedżer. Programy tego typu mają zwykle wbudowany generator silnych haseł, który pomoże nam wygenerować ciągi znaków, spełniające wymagania różnych portali. Wielu specjalistów poleca program 1Password, dostępny dla desktopów i urządzeń mobilnych, wyposażony dodatkowo w integrację z Have I Been Pwnd. Dzięki temu menedżer może nas natychmiast powiadomić o wycieku danych logowania. Jeśli wolicie rozwiązania Open Source, polecam KeePass i jego warianty dla różnych platform.

Gdy kwestia silnych haseł zostanie rozwiązana, warto zadbać także o uwierzytelnianie dwuskładnikowe. Nie są to systemy idealne, ale w większości przypadków ratują konto przed przejęciem, choćby dlatego, że zostaniemy szybko powiadomieni o próbie logowania i będziemy mieli możliwość zablokowania jej.

Dlaczego piszę o tym dziś? 28 stycznia obchodzimy Europejski Dzień Ochrony Danych Osobowych i to świetna okazja, by zadbać o swoje prywatne informacje. Przy tej okazji nie sposób nie wspomnieć o RODO – rozporządzeniu Parlamentu Europejskiego o ochronie danych osobowych. Jego zasady obowiązują od maja 2018 roku, ale już widać pierwsze efekty. W początkowych tygodniach rozporządzenie wywołało spore zamieszanie i doprowadziło do kilku RODO-absurdów (słyszeliście pewnie o Gandalfie, Hanie Solo i Szogunie w przychodni), ale na dłuższą metę ma korzystny wpływ na bezpieczeństwo danych.

Stosowanie się do zaleceń znacznie zmniejszyło ryzyko wycieku danych, co potwierdza UODO, a także raport Cisco. Według niego naruszenia zanotowało 74 proc. firm, które wdrożyły już unijne zasady ochrony danych osobowych. Wśród firm, które są w trakcie zmian i mają już częściowo zaimplementowane wymagania RODO, do naruszeń doszło w 84 proc. Wyciek w firmie, która nie planuje dostosować się do RODO, jest niemal pewny. W ubiegłym roku zanotowało je 89 proc. takich podmiotów. Ponadto dzięki praktykom RODO naruszenia są mniejsze. Cisco zwraca też uwagę na wymierne korzyści finansowe, które płyną z lepszej ochrony danych.