Ministerstwo Cyfryzacji chciało dobrze, a wyszło jak zawsze. Nowe narzędzie zalicza wtopę na starcie

We wczorajszym tekście pisaliśmy o dużym wycieku haseł i loginów polskich użytkowników. Związana z tym baza danych zawiera ponad 6 mln rekordów i zawiera około 1 mln unikalnych adresów e-mail. Do wczoraj nie było prostej metody na sprawdzenie, czy zostaliśmy dotknięci wyciekiem, czy też możemy czuć się bezpiecznie. Pobranie pliku w celu sprawdzenia jest niezgodne z prawem, zatem nie polecamy tego rozwiązania.
cyberbezpieczenstwo

cyberbezpieczenstwo

Z pomocą chce przyjść Ministerstwo Cyfryzacji. Minister Janusz Cieszyński poinformował na Twitterze o uruchomieniu narzędzia, dzięki któremu można sprawdzić, czy jesteśmy bezpieczni.

Wyciek, który nie jest wyciekiem

Na początek warto podkreślić coś, o czym wspominałem już we wczorajszym tekście: nie mamy do czynienia z zaniedbaniami po stronie dostawców usług. Chociaż wspominamy i piszemy o tym jako o wycieku, to jego źródłem są prywatne komputery użytkowników, z których za pomocą programów – data stealerów wykradziono zapisane w przeglądarkach hasła. Hulająca w internecie baza zawiera po prostu kompilację danych z naszych prywatnych komputerów.

Udostępniona przez Ministerstwo Cyfryzacji strona nie miała łatwego startu – poległa niemal natychmiast. Użytkownicy najpierw zgłaszali, że usługa nie działa, a potem przez dłuższy czas jedynym komunikatem, jaki można było przeczytać, to informacja o aktualizacji.

wyciek

Dostęp udało mi się uzyskać około godziny 14:00. Aby sprawdzić, czy wykradziono nam dane trzeba się niestety zalogować na stronie Profilem Zaufanym – po co? Jeden minister być może wie. Po zalogowaniu zyskujemy dostęp do pola wyszukiwania, w które wpisujemy sprawdzany email.

wyciek - bezpiecznedane.gov.pl

Wyszukiwarka działa szybko, prezentacja wyniku nie pozostawia wątpliwości. W moim przypadku żadne dane nie wyciekły.

Inne narzędzia do sprawdzania naszych danych po wycieku

Narzędzie udostępnione przez Ministerstwo nie jest oczywiście jedynym dostępnym. Od dawna w przypadku wycieków można sprawdzić, czy nasze dane są w niebezpieczeństwie za pomocą popularnego serwisu Have i been pwned, który nie wymaga rzecz jasna żadnego logowania. Drugim serwisem, nieco bardzie wyspecjalizowanym właśnie w sprawdzaniu danych z data stealerów jest HudsonRock. Warto sprawdzić loginy za pomocą obu z nich. Osobną kwestią jest zaufanie narzędziom rządowym – to naprawdę nie jest łatwe, jeśli ma się w pamięci ciekawostki z wycieków korespondencji ministrów, zwane potocznie „mailami Dworczyka” i jeśli się weźmie pod uwagę, że w ujawnionej bazie jest 44 385 rekordów dotyczących domen .gov.pl

Korzystając z okazji raz jeszcze mocno sugeruję włączenie gdzie się da dwuetapowego logowania, które daje dość dobre zabezpieczenie nawet w przypadku ujawnienia loginu i hasła oraz korzystanie z wyspecjalizowanych programów do zarządzania hasłami. Oferują one znacznie lepszy poziom zabezpieczeń niż rozwiązania wbudowane w przeglądarki, mają mechanizmy generowania haseł, dzięki którym unikniemy duplikowania i w konsekwencji konieczności masowego ich zmieniania w przypadku wycieku. Część tego typu programów posiada także mechanizmy pozwalające na automatyczne sprawdzanie, czy nasze dane nie wyciekły – w przypadku 1Passsword odpowiada za to mechanizm Watchtower. W razie potrzeby podniesie on alarm i pomoże zmienić ujawnione hasła. Podobne mechanizmy dostępne są także w innych programach.