Co najdete v Google při hledání e-vašeho e-mailu? Co když to bude některé z vašich hesel?

Psal dnes Roman, že ho zajímalo, co se ve vyhledávání v Google objeví, když tam dá vlastní e-mail. Očekával, že by se nic moc objevit nemělo, nikde ho nemá veřejný, není nijak známé. Překvapením pro něj bylo, že se objevil v textovém souboru na vk.com (V-Kontakte, ruská obdoba Facebooku). A když si ten veřejně dostupný soubor stáhl, našel v něm e-mail a heslo. Jak sám říká, mělo by to být jeho heslo právě k VK.com staré pár let (a už neplatné).

x2016-05-30 16_06_25 – Poznámkový blok

V textovém souboru je 100 000 e-mailů i s hesly v čistě textové podobě. 1002 kousků je z .cz domény, z toho 749 je @seznam.cz. A při pohledu na tisíce hesel je dost jasné, že jsou to i automaticky generované hesla pro automaticky zakládané účty, včetně záplavy e-mailů, co jsou automaticky generované coby jasné fake účty. Nicméně, jsou tam množství zcela reálných účtů, ze kterých lze zjistiti i jména a příjmení lidí. A celé to působí jako pouze část nějakého úniku, pravděpodobně z nějaké větší služby.

Zajímavé na tom souborů může být to, že jsou v něm i maily, které haveibeenpwned.com nezná. Přitom je tam poměrně značné množství uniklých hesel. V www.leakedsource.com je to dost podobné. Takže to trochu vypadá na to, že tohle je únik, který ještě není zcela známý.

Ale tohle není podstatné, necháme povolanějším zkoumání tohoto vzorku, budou-li totiž chtít, tak přes Google najdou desítky dalších souborů s hesly, které jsou všechny volně dostupné na VK.COM. K nalezení v nich jsou stovky tisíc dalších hesel s e-maily. A jak už jsem spekuloval výše, je možné, že jsou všechny dohromady nějaký podstatně větší únik.

Je dobré se čas od času dívat, co se najde na váš e-mail

Jeden z dobrých bezpečnostních návyků je, zkoumat vlastní digitální stopu. Do vyhledávačů hodit e-mail a podívat se, kde všude se vyskytuje. Případně pak pokračovat s jménem a příjmením (pokud ho máte dostatečně unikátní, samozřejmě). Neobjevíte tím věci co kolují někde v „dark“ části Internetu (kde řada souborů s hesly koluje), ale může se vám stát, že objevíte přesně to, co se ukázalo Romanovi.

Bylo by samozřejmě možné zkusit najít výskyt vlastního hesla, které máte jistě tak unikátní, že unikátnější už být nemůže, ale to bych asi do vyhledávače jen tak nedával. Snad jedině v okamžiku, kdy je jasné, že to heslo je zcela proláklé. Jedno z mých velmi prastarých hesel, používaných tehdy pro zbytečně věci, je takto například nalezitelné – dostanu se hned na krásný seznam 2 151 220 unikátní ASCII hesel (kde vám poradí i ještě lepší UNIQPASS), tedy ideální databází pro brute force pokusy.

TIP: Ověřovat únik zrovna toho vašeho e-mailu a hesla je vcelku jednoduché, viz Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel?. Stejně jako je v zásadě jednoduché to, co musíte udělat, pokud vám někdo heslo ukradl, o tom je řeč v Co udělat, když se někomu podařilo získat moje heslo do nějaké online služby