16 miliardë fjalëkalime të zbuluara nga gjigantët e teknologjisë
Nëse menduat se raporti im i 23 majit, i cili konfirmonte rrjedhjen e të dhënave të hyrjes me një total prej 184 milionë kredencialesh të kompromentuara, ishte i frikshëm, shpresoj se jeni ulur tani. Studiuesit sapo kanë konfirmuar atë që mund të jetë rrjedhja më e madhe ndonjëherë, me një numër pothuajse të pabesueshëm prej 16 miliardë kredencialesh hyrjeje, përfshirë fjalëkalime, të ekspozuara. Si pjesë e një hetimi të vazhdueshëm që filloi në fillim të vitit, studiuesit kanë supozuar se rrjedhja masive e fjalëkalimeve është vepër e shumë hajdutëve të informacionit. Ja çfarë duhet të dini dhe të bëni.
Komprometimi i fjalëkalimeve nuk është shaka; çon në kompromentimin e llogarisë dhe kjo çon në, në fakt, në kompromentimin e pothuajse çdo gjëje që ju e konsideroni të shtrenjtë në këtë botë të përqendruar te teknologjia në të cilën jetojmë. Kjo është arsyeja pse Google po u thotë miliarda përdoruesve të zëvendësojnë fjalëkalimet e tyre me çelësa shumë më të sigurt. Kjo është arsyeja pse FBI po i paralajmëron njerëzit të mos klikojnë në lidhje në mesazhet SMS. Kjo është arsyeja pse fjalëkalimet e vjedhura janë në shitje, me miliona , në rrjetin e errët për këdo që ka shumën shumë të vogël të parave të nevojshme për t’i blerë ato. Dhe kjo është arsyeja pse ky zbulim i fundit është, sinqerisht, kaq shqetësues për të gjithë.
Sipas Vilius Petkauskas në Cybernews, i cili thotë se studiuesit kanë hetuar rrjedhjen që nga fillimi i vitit, janë zbuluar “30 grupe të dhënash të ekspozuara që përmbajnë nga dhjetëra milionë deri në mbi 3.5 miliardë të dhëna secila”. Në total, Petkauskas ka konfirmuar se numri i të dhënave të kompromentuara tani ka arritur në 16 miliardë. Le të mendojmë pak për këtë. Këto koleksione kredencialesh hyrjeje, këto baza të dhënash të mbushura plot me fjalëkalime të kompromentuara, përbëjnë atë që mendohet të jetë rrjedhja më e madhe e tillë në histori.
“Agjencitë e inteligjencës dhe aktorët kërcënues i përdorin këto dhe i grumbullojnë këto lista në rrjetin e errët”, tha Lawrence Pingree, një nënkryetar në Dispersive, “ndonjëherë të ripaketuara disa herë, ndonjëherë të shitura individualisht”. Siç më tha Pingree, është e vështirë të thuash pa shqyrtuar të gjithë të dhënat, duke i hequr të dhënat nga dyfishimi dhe duke i krahasuar ato me të dhëna të shkeljeve të pavarura nëse kjo është një rrjedhje e ripaketuar apo jo. Megjithatë, studiuesit e Cybernews janë të sigurt se nuk është. Sidoqoftë, siç tha Pingree, “16 miliardë të dhëna janë një numër i madh” dhe të dhëna të tilla kredencialesh “mund të keqpërdoren dhe keqpërdoren – kjo është ajo që i bën ato të vlefshme”.
Rrjedhja prej 16 miliardësh, e vendosur në një numër të dhënash supermasive, përfshin miliarda kredenciale hyrjeje nga mediat sociale, VPN-të, portalet e zhvilluesve dhe llogaritë e përdoruesve për të gjithë shitësit kryesorë, me sa duket. Çuditërisht, më është thënë se asnjë nga këto të dhëna nuk është raportuar si e rrjedhur më parë, të gjitha këto janë të dhëna të reja. Epo, pothuajse asnjë: baza e të dhënave me 184 milionë fjalëkalime që përmenda në fillim të artikullit është përjashtimi i vetëm. Kjo është kundërshtuar nga disa profesionistë të sigurisë kibernetike, por cilado qoftë e vërteta e çështjes, ajo mbetet një shkak i madh për shqetësim.
“Kjo nuk është thjesht një rrjedhje informacioni – është një plan për shfrytëzim masiv”, thanë studiuesit. Dhe ata kanë të drejtë. Këto kredenciale janë pika fillestare për sulmet phishing dhe marrjen e llogarive. “Këto nuk janë thjesht shkelje të vjetra që po riciklohen”, paralajmëruan ata, “kjo është inteligjencë e re dhe e armatosshme në shkallë të gjerë.”
Pjesa më e madhe e asaj inteligjence ishte strukturuar në formatin e një URL-je, e ndjekur nga detajet e hyrjes dhe një fjalëkalim. Informacioni i përmbajtur, deklaruan studiuesit, hap derën për “pothuajse çdo shërbim online të imagjinueshëm, nga Apple, Facebook dhe Google, te GitHub, Telegram dhe shërbime të ndryshme qeveritare”.
Jo të gjitha bazat e të dhënave të fjalëkalimeve janë rezultat i një programi keqdashës të kompromentuar dhe vjedhës informacioni, siç është rasti me megadump-in prej 16 miliardësh këtu. Darren Guccione, CEO dhe bashkëthemelues i Keeper Security, një platformë menaxhimi me akses të privilegjuar, më tha se kjo rrjedhje fjalëkalimesh ishte një kujtesë e përshtatshme se “sa e lehtë është që të dhënat e ndjeshme të ekspozohen pa dashje në internet “. Dhe Guccione sigurisht që nuk gabon, aspak në fakt. Kjo mund të jetë vetëm maja e ajsbergut më të madh të sigurisë që pret të përplaset në botën online. Dua të them, vetëm imagjinoni sa kredenciale të ekspozuara, përfshirë fjalëkalimet, ndodhen atje në cloud, ose më shumë në mjedise cloud të konfiguruara gabim, duke pritur që dikush t’i gjejë. Nëse jemi me fat, ai dikush do të jetë një studiues sigurie që e zbulon me përgjegjësi ekspozimin te pronari ose hosti; nëse jo, atëherë do të jetë një aktor keqdashës. Në kë do t’i vinit paratë tuaja?
“Fakti që kredencialet në fjalë kanë vlerë të lartë për shërbimet e përdorura gjerësisht mbart me vete implikime të gjera”, tha Guccione, prandaj është më e rëndësishme se kurrë që konsumatorët të investojnë në zgjidhje për menaxhimin e fjalëkalimeve dhe mjete monitorimi të internetit të errët. Këto të fundit mund të ndihmojnë duke njoftuar përdoruesit kur fjalëkalimet e tyre janë ekspozuar në internet, me shpresë duke i mundësuar ata të ndërmarrin veprime të drejtpërdrejta dhe të përditësojnë hyrjet në llogarinë e tyre nëse fjalëkalimi është ripërdorur në të gjitha shërbimet.
Megjithatë, organizatat nuk i shpëtojnë domosdoshmërisë së investimeve. Ato duhet të shqyrtojnë mundësinë e miratimit të modeleve të sigurisë me besim zero që ofrojnë kontrolle të privilegjuara të aksesit për të “kufizuar rrezikun duke siguruar që aksesi në sisteme të ndjeshme të jetë gjithmonë i autentifikuar, i autorizuar dhe i regjistruar”, përfundoi Guccione, “pavarësisht se ku ndodhen të dhënat”.
Evan Dornbush, CEO i Desired Effect, një ish-ekspert i sigurisë kibernetike i NSA-së, tha se “Nuk ka rëndësi sa i gjatë ose kompleks është fjalëkalimi juaj. Kur një sulmues kompromenton bazën e të dhënave që e ruan atë, ai e ka atë.” Kjo është arsyeja pse higjiena dhe menaxhimi i fjalëkalimeve janë kaq thelbësore. “Kjo është gjithashtu arsyeja pse është kaq e rëndësishme të mos përdoret i njëjti fjalëkalim në shumë faqe. Nëse një sulmues vjedh një fjalëkalim nga një bazë të dhënash dhe individi e ka ripërdorur atë diku tjetër, atëherë sulmuesi mund të fitojë akses edhe në ato llogari.”
Zëvendëspresidenti i Approov, George McGregor, e përshkroi këtë lloj rrjedhjeje masive informacioni si domino-n e parë, “që çon në një kaskadë sulmesh të mundshme kibernetike dhe dëme të konsiderueshme për individët dhe organizatat”. Hulumtimi, këmbënguli McGregor, “thjesht thekson atë që ne tashmë e dimë, se identitetet e përdoruesve janë tashmë gjerësisht të disponueshme për hakerat”.
Në fund të fundit, kjo përforcon faktin se siguria kibernetike nuk është vetëm një sfidë teknike, por një përgjegjësi e përbashkët. “Organizatat duhet të bëjnë pjesën e tyre në mbrojtjen e përdoruesve”, tha Javvad Malik, avokat kryesor i ndërgjegjësimit për sigurinë në KnowBe4, “dhe njerëzit duhet të mbeten vigjilentë dhe të vetëdijshëm për çdo përpjekje për të vjedhur kredencialet e hyrjes. Zgjidhni fjalëkalime të forta dhe unike dhe zbatoni autentifikimin shumëfaktorësh sa herë që është e mundur.”
Paul Walsh, CEO në MetaCert, nuk pajtohet me konceptin e sigurisë kibernetike si një përgjegjësi e përbashkët. “Këto janë gënjeshtra të pastra nga shitësit e sigurisë të cilët ende nuk dinë si t’i mbrojnë klientët e tyre nga sulmet phishing dhe më pas fajësojnë njerëzit që nuk bëhen profesionistë të sigurisë”, tha Walsh në një postim në platformën e mediave sociale X. Si mund të pritet që përdoruesit të dallojnë kërcënimet që ofruesit e tyre të sigurisë nuk mund t’i dallojnë? Kjo është një pyetje mjaft e arsyeshme e ngritur nga Walsh, i cili vuri në dukje se edukimi i përdoruesve nuk po funksionon dhe nuk ka qenë efektiv për më shumë se një dekadë. Walsh, sigurisht, ka ndikim në këtë lojë, me Metacert që është pionier i një qasjeje të autentifikimit të URL-ve me zero besim ndaj problemit.
Edhe pse mund të mos dëshironi t’i ndryshoni të gjitha fjalëkalimet e llogarisë suaj si rezultat i këtij zbulimi të fundit të rrjedhjes së informacionit, unë sigurisht që do ta rekomandoja nëse keni ripërdorur ndonjëherë ndonjë nga këto kredenciale në më shumë se një shërbim. Gjithashtu do të sugjeroja që tani është koha për të filluar përdorimin e një menaxheri fjalëkalimesh dhe për të kaluar në çelësa kalimi sa herë që të jetë e mundur.
Rew Islam është një ekspert sigurie në Dashlane, si dhe bashkëkryetar i Aleancës FIDO. Dashlane, më tha Islam, ishte “menaxheri i parë i kredencialeve që lançoi mbështetjen për çelësat e kalimit”, dhe si i tillë tha, “është shumë emocionuese të shohësh industrinë e teknologjisë të ndjekë shembullin”. I fundit që njoftoi miratimin e çelësave të kalimit është Facebook, i cili është në një kohë të shkëlqyer në dritën e hulumtimit të Cybernews. “Për kompanitë dhe platformat e tjera me ndjekës të mëdhenj në rrjetet sociale, shkrimi është i qartë,” përfundoi Islam, “çelësat e kalimit nuk janë diçka e mirë për t’u pasur, ato janë thelbësore për mbrojtjen e përdoruesve”.
“Ndërsa mund të ketë njëfarë rezistence natyrore ndaj ndryshimit”, tha Islami, “lajmi i mirë është se shumica e përdoruesve janë të gatshëm të heqin dorë nga fjalëkalimet dhe të mbështeten në faktorë që tashmë i njohin dhe i përdorin, siç është njohja e fytyrës ose e gjurmëve të gishtave”. Sigurisht, ajo që do të duhet është që gjithnjë e më shumë kompani, nga bankat te mediat sociale dhe bizneset e vogla, t’i bashkohen kësaj partie të çelësave të kalimit. Përmes një miratimi të tillë, besimi do të ndërtohet edhe tek më skeptikët. “Gjatë tre viteve të ardhshme”, përfundoi Islami, “ne presim që çelësat e kalimit të përdoren nga shumica globale e përdoruesve të internetit”.