Μία από τις μεγαλύτερες ψηφιακές διαρροές όλων των εποχών έχει προκαλέσει συναγερμό στην παγκόσμια κοινότητα των χρηστών του διαδικτύου. Σύμφωνα με αποκαλύψεις του ειδικού κυβερνοασφάλειας Bob Diachenko και της ομάδας του για λογαριασμό του ιστότοπου Cybernews, περισσότερα από 16 δισεκατομμύρια αρχεία σύνδεσης (credentials) βρέθηκαν διαθέσιμα στο διαδίκτυο.
Τι περιείχαν τα δεδομένα
Οι διαρροές δεν προέρχονται από απευθείας χακαρίσματα στους servers εταιρειών όπως η Google, η Apple ή το Facebook, αλλά μέσω κακόβουλων λογισμικών που είχαν μολύνει συσκευές ανυποψίαστων χρηστών. Αυτά τα προγράμματα, γνωστά ως infostealers, έχουν τη δυνατότητα να καταγράφουν:
- URLs
- usernames
- passwords
- αποθηκευμένες πληροφορίες περιήγησης
Το 85% των δεδομένων της διαρροής προέρχεται από τέτοιες μολύνσεις, με τα υπόλοιπα να προέρχονται από παλαιότερες ή συνδυασμένες βάσεις δεδομένων.
Σε ποιες πλατφόρμες στοχεύουν
Τα credentials που διέρρευσαν φαίνεται να αφορούν σημαντικούς λογαριασμούς:
- Google (Gmail, YouTube, Drive κ.λπ.)
- Facebook (προσωπικά και επαγγελματικά προφίλ)
- Apple ID (iCloud, App Store κ.ά.)
Παρότι οι ίδιες οι εταιρείες δεν παραβιάστηκαν, η έκταση των δεδομένων που συνδέονται με αυτές τις πλατφόρμες καθιστά την υπόθεση εξαιρετικά σοβαρή.
Πόσο επικίνδυνη είναι αυτή η διαρροή;
Οι βάσεις δεδομένων εντοπίστηκαν προσωρινά σε απομακρυσμένους servers, χωρίς ασφάλεια, αλλά ήταν προσβάσιμες για αρκετές ώρες – χρόνος επαρκής για να αντιγραφούν. Όπως εξηγεί ο Bob Diachenko:
«Θα χρειαστεί αρκετός καιρός για να ειδοποιηθούν όλα τα θύματα, λόγω της τεράστιας έκτασης της διαρροής».
Ο καθηγητής Άλαν Γούντγουορντ του Πανεπιστημίου του Σάρεϊ παρομοίασε την κατάσταση με «ψηφιακό ανοιξιάτικο καθάρισμα» και συμβουλεύει αλλαγή κωδικών χωρίς καθυστέρηση.
Τι πρέπει να κάνετε τώρα
Οι ειδικοί προτείνουν άμεσα μέτρα πρόληψης και ενίσχυσης της ασφάλειας:
- Αλλάξτε αμέσως όλους τους κωδικούς σας, ξεκινώντας από τους πιο κρίσιμους (email, τράπεζες, κοινωνικά δίκτυα).
- Χρησιμοποιήστε password managers για ασφαλή αποθήκευση και δημιουργία ισχυρών, μοναδικών κωδικών.
- Ενεργοποιήστε τον πολυπαραγοντικό έλεγχο ταυτότητας (MFA) όπου είναι διαθέσιμος.
- Προτιμήστε την τεχνολογία passkeys, μια νέα μορφή ελέγχου χωρίς την ανάγκη εισαγωγής παραδοσιακού κωδικού.
Τέλος, οι χρήστες μπορούν να επισκεφθούν την πλατφόρμα haveibeenpwned.com για να δουν αν ο λογαριασμός τους έχει εμπλακεί σε κάποια διαρροή.
